疑被激活操作系统后门，美国特工对亚冬会网攻窃密内情披露

记者今天（15日）从哈尔滨市公安局了解到，2025年哈尔滨第九届亚冬会期间，赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。经查，美国国家安全局特定入侵行动办公室（简称“TAO”）凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊等3名特工，参与实施了上述网络攻击活动。

为依法严厉打击境外势力对我国网攻窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，哈尔滨市公安局决定对上述3名犯罪嫌疑人进行悬赏通缉。发现有关人员线索可立即向公安机关举报，公安机关将对举报人身份信息严格保密。凡向公安机关提供有效线索的举报人，以及配合公安机关抓获有关犯罪嫌疑人的有功人员，公安机关将给予一定金额的奖励。

举报电话：0451-110

追踪溯源锁定网络攻击幕后黑手

本月初，我们报道了“哈尔滨亚冬会”遭受境外网络攻击的事件，这一事件引发了全球主流媒体和网民的广泛关注。现在，警方已掌握相关网络攻击的确凿证据，并决定对3名美国国家安全局特工进行悬赏通缉。那么，这3名美国特工到底是谁？他们究竟做了什么呢？

4月3日，国家计算机病毒应急处理中心发布了一份报告，其中披露了2组数字，27万次和5000万次，这两组数字分别对应的是：哈尔滨亚冬会的赛事信息系统和黑龙江省内关键信息基础设施遭到境外网络攻击的次数，而这里所说的境外攻击者，实际上就是美国及其盟友国家。

我国网络安全技术团队通过对攻击数据进行追踪溯源，以及在相关国家的支持下，最终锁定了此次攻击事件的幕后黑手——美国国家安全局（NSA）的3名特工，他们分别是：凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）。通过进一步调查发现，这3名特工的累累前科也被陆续挖出，他们曾多次对我国关键信息基础设施实施网络攻击，还参与了对华为公司等企业的网络攻击活动。

360集团创始人 周鸿祎：早在几年前我们就多次发现了，美国对西北工业大学和我们国家一系列关于科研军工关键基础设施的攻击之后，我们也大概用了差不多10年的时间建立了他的攻击手法，整个战术知识库。这次溯源到三个个人特工，这都是历史上重大的突破。

在确保赛事安全进行的同时，国家计算机病毒应急处理中心和亚冬会赛事网络安全保障团队，第一时间向哈尔滨警方提交了相关网络攻击的全部数据。哈尔滨市公安局高度重视此次网络攻击事件，立即组织技术专家组成技术团队开展网络攻击溯源调查。

奇安信科技集团总裁 吴云坤：针对亚冬会网络攻击高度定向，因为这些关键业务系统一旦出问题，无论是数据被偷走，或者这个过程当中它被摧毁，其实对于整个赛事来说是重大影响。我们从IP地址上能看出，大多来自于像美国以及相应的盟友的组织，所以这也代表国际上最高的网络攻击水平。

据网络安全技术团队介绍，在此次追踪溯源的过程中还发现，美国在实施网络攻击中还使用了人工智能技术。

360集团创始人 周鸿祎：这次美国国安局一反常态，攻击的范围非常大。从我们研判对方的攻击代码来看，是采用人工智能智能体的技术，用人工智能来做攻击方案的规划，做漏洞的探寻，做流量的监测，包括有些代码明显是人工智能书写的攻击代码，也就是实现了在攻击过程中可以自动地快速地编写一个动态的代码来实施攻击的行为。

美两所高校参与操作系统后门疑被激活

我国网络安全技术团队调查发现，除了美国国家安全局的3名特工参与了亚冬会的网络攻击之外，另外还有两所美国高校也参与了此次攻击活动，他们分别是加利福尼亚大学和弗吉尼亚理工大学，而且这两所高校都具有美国国家安全局的背景。那么，美国国家安全局主导的这次网络攻击都实施哪些手段？我们都采取哪些措施进行应对的呢？

据公开信息显示：加利福尼亚大学自2015年起就被美国国家安全局和国土安全部指定为网络防御教育领域的学术卓越中心；而弗吉尼亚理工大学是美国6所高级军事院校之一，曾在2021年接受美国国家安全局资助，用于加强网络攻防的队伍建设。

杭州安恒信息技术股份有限公司董事长 范渊：通过溯源分析，我们发现美国多所高校参与了对亚冬会重要赛事系统的攻击。其中弗吉尼亚理工大学是美国知名的军事学校，该学校曾在不同时期接受了美国国家安全局、联邦调查局、国土安全部等情治部门的资助，用于加强网络攻防队伍和网络攻防靶场的建设，同样也是美国国家安全局认定的“网络安全作战研究中心”。这种将高等教育资源武器化的行径，严重破坏了国际学术共同体的信任基石。

经过技术团队的层层溯源发现，此次针对亚冬会开展的网络攻击，是由美国国家安全局精心组织实施的，具体实施部门为下属的特定入侵行动办公室。调查发现，特定入侵行动办公室为了掩护其攻击来源和保护网络武器安全，利用所属的多家掩护机构购买了一批不同国家的IP地址，并匿名租用了一大批位于欧洲、亚洲等国家和地区的网络服务器。

国家计算机病毒应急处理中心高级工程师 杜振华：遭遇的这种比较大规模的网络攻击，从攻击的过程和方式上，主要体现在攻击者首先进行了大规模的网络设备资产探测，意图是获取这些位于网络边缘的服务器或者网络设备的访问权限，随后试图建立立足点，再通过这些立足点逐步地向内网渗透，去投送更多的网络武器，实施内网的渗透，以及建立一种长期的潜伏的效果。

据网络安全专家介绍，美国国家安全局此次开展的网络渗透攻击活动，涵盖数百类已知和未知的攻击手法，攻击方式超前，包括未知漏洞盲打、文件读取漏洞、备份文件以及敏感文件及路径探测攻击等，攻击目标、攻击意图非常明显。

安天集团创始人董事长 肖新光：在这个过程中，我们感知拦截了来自境外的网络安全攻击，并进行深度的分析处置，发现了相关关键的威胁的线索和痕迹。在为期493天整个的运行过程中，我们前置进行安全检查评估的支撑工作，前置处理了大量的威胁隐患，并且在最终进行了15天7×24小时23个点位的全面值守。

另外，我国网络安全技术团队还发现，亚冬会期间美国国家安全局向黑龙江省内多个基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

如何防范和应对网络攻击和窃密活动

面对美国政府情报机构对我国持续进行的网络攻击，我们应该采取什么应对措施呢？听一下专家的建议。

据专家介绍，美国长期利用其在信息技术产业具有的优势地位，实施对全球的网络攻击和窃密活动。其中，美国情报机构利用外国情报监视法案，也就是702法案，要求美国的信息技术产品生产商，提供用户的敏感个人信息和数据，对用户实施监听和窃密。

国家计算机病毒应急处理中心高级工程师 杜振华：美国的情报机构还可以深入接触这些信息技术产品和服务的生产环节，能够获得这些敏感的设计资料，并且利用这些未公开的一些功能实施网络攻击；另外，美国的情报机构，还通过直接投资孵化这种信息技术的创新企业，或者是通过政商的旋转门机制，去安插具有情报机构或者军方工作背景的官员能进入到这些企业当中，来间接实施长期的影响。如果我国的单位或者个人，它存在接触国家秘密、工作秘密甚至商业秘密，存在这种情形的话应该谨慎使用，或者说考虑避免使用这些非国产、特别是美国的信息技术产品，也应该逐步去提高信息技术产品的国产化率。

编辑：陈婉允

来源：央视新闻