中国通缉3名美国特工！还曝光一个危险的“世界首次”

4月15日是第十个全民国家安全教育日。哈尔滨市公安局15日发布“关于对3名美国网攻窃密人员的悬赏通告”称，2025年哈尔滨第九届亚冬会期间，赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。经查，美国国家安全局（NSA）特定入侵行动办公室3名特工参与实施了上述网络攻击活动。

在4月15日外交部例行记者会上，发言人林剑表示，在第九届亚冬会期间，美国政府针对赛事信息系统和黑龙江省内关键信息基础设施开展网络攻击，对中国关键信息基础设施、国防、金融、社会、生产以及公民个人信息安全造成严重危害，性质十分恶劣。中方谴责美国政府的上述恶意网络行为。

美国国家安全局特工和两所美国高校参与其中

通告显示，美国国家安全局特定入侵行动办公室凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊3名特工，参与实施了针对亚冬会赛事系统的网络攻击活动。同时，调查显示这3名特工曾多次对我国关键信息基础设施实施网络攻击，并参与对华为公司等中国企业的网络攻击活动。为依法严厉打击境外势力对我网攻窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，哈尔滨市公安局决定对上述3名犯罪嫌疑人进行悬赏通缉。

本月早些时候，中国国家计算机病毒应急处理中心发布的报告显示，在我国承办亚冬会期间境外势力试图通过网络攻击手段破坏、干扰赛事正常进行，甚至妄图通过网络攻击关键网络基础设施制造混乱和窃取敏感情报。监测数据显示，在被识别出的攻击中来自美国的攻击占比高达63.24%。对此，哈尔滨市公安局立即组织国家计算机病毒应急处理中心以及网络安全机构技术专家开展网络攻击溯源调查。经技术团队持续攻坚，成功追查到美国国家安全局的3名特工和两所美国高校参与实施了针对亚冬会的网络攻击活动。

中国国家计算机病毒应急处理中心和360集团的技术人员15日对《环球时报》记者表示，技术团队针对掌握的数据层层溯源，最终锁定幕后“黑手”来自美国国家安全局，实施此次网络攻击行动的组织是美国国家安全局信息情报部（代号S）数据侦察局（代号S3）下属的特定入侵行动办公室（TAO，代号S32）。

根据介绍，除了上文中提及的3名美国国家安全局特工之外，技术团队还发现，具有美国国家安全局（NSA）背景的美国加利福尼亚大学、弗吉尼亚理工大学也参与了本次网络攻击。技术团队针对网络攻击亚冬会涉美国IP地址溯源分析，IP地址分别归属于上述两所美国大学。

公开信息显示，加利福尼亚大学自2015年起就被美国国家安全局和国土安全部指定为网络防御教育领域的学术卓越中心。弗吉尼亚理工大学是美国6所高级军事院校之一，曾在2021年接受美国国家安全局资助，用于加强网络攻防的队伍建设。该学校有美国国家安全局认证的“网络安全防御研究中心”和“网络安全作战研究中心”，长期参与美国国家安全局资助的联邦奖学金项目。此外，该校还承担了弗吉尼亚州政府的网络攻防靶场建设。

中国国家计算机病毒应急处理中心高级工程师杜振华对《环球时报》记者表示，这是一次精心组织实施的网络攻击行动。调查显示，美国国家安全局实施的网络攻击行动有两个阶段。“在赛前，其攻击行为主要集中在亚冬会注册系统、抵离管理系统、竞赛报名系统等重要信息系统，这些系统用于赛前开展相关工作，保存有大量赛事相关人员身份敏感信息，他们意图利用网络攻击窃取参赛运动员的个人隐私数据。赛事期间，攻击重点方向为赛事信息发布系统（包括API接口）、抵离管理系统等，此类系统为赛事过程保障的重要信息系统，美国国家安全局妄图破坏系统，扰乱亚冬会赛事的正常运行。”杜振华称。

林剑强调，中方已通过各种方式就美网络攻击中国关键基础设施向美方表明关切。我们敦促美方在网络安全问题上采取负责任的态度，停止对中方实施网络攻击，停止对中方的无端抹黑和攻击。中方将继续采取一切必要措施，保护自身的网络安全。

“首次大规模使用AI智能体发起的网络攻击”

作为亚冬会赛事网络安全保障团队之一，安天技术委员会副主任李柏松在接受《环球时报》记者采访时表示，美方长期对我重要信息系统、关键信息基础设施实施网络攻击活动。“在亚冬会赛事阶段，我们团队累计监测拦截境外网络多起攻击事件，其中大部分由美方主导。”他表示，此次网络攻击活动高度隐蔽、具有很强的定向性，除了赛事期间，其更企图在我关键信息基础设施长期潜伏，持续获取各种信息、情报、数据、成果等。“美方的网络攻击行动一旦得逞，将会给整个活动组织运行带来很大影响，并严重干扰我国国家主权、安全和发展利益。不过，此次事件也说明，我们有能力构建有效防御体系，抵御大规模、高频度的网络安全攻击。我们也在海量的事件中发现了具有很高隐蔽性的威胁线索，这体现了我国的国家安全和公共安全能力，我们用系统思维、底线思维和‘整体战’的组织模式，有效化解了对手的威胁。”

据介绍，美国国家安全局主要围绕特定应用系统、特定关键信息基础设施、特定要害部门开展网络渗透攻击，涵盖数百类已知和未知攻击手法，攻击方式超前，包括未知漏洞盲打、文件读取漏洞、短时高频定向检测攻击、备份文件和敏感文件及路径探测攻击、密码穷举攻击等，攻击目标、攻击意图明显。技术团队还发现，亚冬会期间美国国家安全局向黑龙江省内多个基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

360集团创始人周鸿祎表示，随着大模型技术的发展，美方持续实施的网络攻击也呈现出AI化趋势。此次亚冬会遭受的攻击疑似为首次大规模使用AI智能体发起的网络攻击。通过对攻击代码进行研判分析，360发现此次攻击利用了AI智能体进行工具方案规划、漏洞探寻和流量监测等工作，部分代码明显由AI书写，可以在攻击过程中自动、快速编写动态代码实施攻击。

如何溯源本轮网络攻击

周鸿祎表示，在网络攻防对抗日益复杂的背景下，攻击者会采取多种手段掩盖身份。例如在亚冬会期间的攻击中，美方依托所属多家掩护机构购买了不同国家的IP地址，并匿名租用了大批位于欧洲、亚洲等国家和地区的网络服务器，以此留下虚假线索误导溯源方向。对此类黑客组织的溯源通常需要掌握大量安全数据，并高度依赖拥有强大知识储备和丰富实战经验的安全专家进行溯源及处置，因此攻击溯源一直是全球安全领域公认的难题。此次能够精准溯源至个人层面，堪称安全领域的重大技术突破。

据了解，在过去十几年间，360集团已经发现了56个像美国国家安全局这样的APT（高级持续性威胁）组织，占国内发现APT总数的98%以上，其中也包括美国中央情报局（CIA）。这些国家级黑客组织对我国关键基础设施、科研单位、政府机构进行长达十余年的网络潜伏渗透和攻击。此前360率先披露过美国国家安全局和中央情报局等美国情报机构对我国关键基础设施单位攻击窃密，并成功溯源、上报有关部门，最终将上述两家机构潜伏在中国十余年的间谍软件网络连根拔起，也使360集团成为唯一被美国商务部和国防部双重制裁的网络安全公司。

周鸿祎表示，面对AI黑客，即AI攻击智能体，需要用“AI对抗AI”。目前360集团打造了安全专家智能体“AI红客”，将360集团顶级安全专家的能力复制到AI智能体上对抗AI黑客。“AI红客同样可以不眠不休、反应迅速，而且能无限复制，可以此应对AI时代的大规模网络攻击。”面对境外黑客组织利用AI技术发起的新型网络攻击，周鸿祎提出，我国各大关键基础设施单位也应该提升相应“战力”：一是要有安全大数据、建立全局视野，实现“看见”威胁情报，掌握全网安全态势；二是要在多个场景和环境部署探针体系，能够快速、及时发现安全线索并就地处置；三是要构建起数字安全防御体系，并发展能投入实战应用的安全大模型，大幅度提升技术人员的安全分析、安全处置、应急响应、安全运营能力等。