4月15日上午，哈尔滨市公安局发布一份悬赏通告，美国国家安全局特定入侵行动办公室的3名特工，因参与和实施了针对亚冬会赛事系统的网络攻击活动被通缉。

本月初（3日），国家计算机病毒应急处理中心发布了一份网络攻击情况监测分析报告，披露了亚冬会背后鲜为人知的网络“暗战”。哈尔滨亚冬会赛事信息系统遭境外的网络攻击超27万次，其中63.24%的攻击源自美国。

据央视新闻4月15日报道，哈尔滨市公安局对外表示，在相关国家支持下，经技术团队持续攻坚，成功追查到美国国家安全局（NSA）的3名特工凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J.Snelling）、斯蒂芬·约翰逊（Stephen W.Johnson），和两所高校——美国加利福尼亚大学、弗吉尼亚理工大学，参与实施了针对亚冬会的网络攻击活动。

据哈尔滨市公安局介绍，3名特工曾多次攻击我国关键信息基础设施网络，并参与对华为公司等企业的网络攻击活动。该局决定对3名犯罪嫌疑人进行公开悬赏通缉。

今年2月3日，是哈尔滨第九届亚冬会首个比赛日。比赛激战正酣时，一场针对赛事信息系统的网络攻击战，已提前打响。在这场“看不见”的网络战中，究竟是谁在操纵针对中国的恶意攻击？有何目的？

近日，国家计算机病毒应急处理中心发布《“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告》（以下简称报告），披露了本届赛事所监测到的网络安全威胁情况。

报告指出，自2025年1月26日至2月14日，亚冬会赛事信息系统遭到来自境外的网络攻击270167次。网络攻击数量呈波动性增长态势，从2月7日亚冬会开幕至2月13日赛事接近尾声，攻击次数显著增高，其中2月8日达到攻击次数的峰值。

4月3日，国家计算机病毒应急处理中心官网发布的报告。

监测数据表明，自2月3日第一场冰球比赛开始，针对赛事信息系统的网络异常行为流量持续增加，同时伴随有大量漏洞利用攻击事件。此次遭受的网络攻击以Web攻击为主，具体包括文件读取漏洞攻击、SQL注入攻击、HTTP协议头X-Forwarded-For字段伪造攻击等。

在被识别出的攻击中，来自美国的攻击次数为170864次，占比高达63.24%；其次是新加坡（40449次，占比14.97%）、荷兰（12414次，占比4.95%）、德国（6682次，占比2.47%）、韩国（1281次，占比0.47%）等国家和地区。

从IP封禁情况分析，亚冬会期间共封禁高危恶意IP地址12602个，这些恶意IP地址针对赛事信息系统进行恶意扫描、漏洞利用操作，意图入侵并窃取信息系统数据或直接对信息系统实施破坏，其中大部分攻击来自境外Digital Ocean云服务主机。

同样被“盯”上的，还有黑龙江省内关键信息基础设施——涉及能源、交通、水利、通信、国防科研院校等重要行业。

报告指出，1月31日至2月14日期间，针对黑龙江省内关键信息基础设施实施的网络攻击主要源自美国及其盟友国家，其中攻击次数最多的三个国家分别为荷兰（3798万次）、美国（1179万次）、泰国（72万次）。澳大利亚、英国、德国、立陶宛、加拿大、日本和新加坡分别位列第四至第十位。

从网络攻击的IP地址看，调查发现，荷兰单个IP对黑龙江省关键信息基础设施的攻击次数高达3252万次，美国则通过分散IP实施高频攻击。

值得一提的是，2025年1月，中国国家互联网应急中心的一份报告指出，美国的情报机构频繁使用位于荷兰、德国等其他欧洲国家的云主机作为跳板机或发起攻击的傀儡主机。综合此次亚冬会赛事网络攻击源头的多种行为特征，技术团队高度怀疑这些攻击背后有美国政府支持。

近期，上述猜测得到公安机关的证实。

4月15日，哈尔滨市公安局对外发声，在收到亚冬会赛事的全部网络攻击数据后，立即组织国家计算机病毒应急中心和360、奇安信、安恒、安天等多家网络机构技术专家开展网络攻击溯源调查。

经技术团队层层溯源，哈尔滨市公安局表示，此次针对亚冬会开展网络攻击，是由美国国家安全局（NSA）精心组织实施的一次网络攻击行动，实施方正是NSA信息情报部（代号S）数据侦察局（代号S3）下属特定入侵行动办公室（Office of Tailored Access Operation，简称“TAO”，代号S32）。

通报指出，上述办公室为掩护其攻击来源和保护网络武器安全，依托所属多家掩护机构购买了一批不同国家的IP地址，并匿名租用了一大批位于欧洲、亚洲等国家和地区的网络服务器。

据哈尔滨市公安局介绍，经过持续攻坚溯源，成功锁定了参与网络攻击亚冬会的3名美国国家安全局特工。他们分别是凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J.Snelling）、斯蒂芬·约翰逊（Stephen W.Johnson）。进一步调查发现，这3名特工曾多次对国内关键信息基础设施实施网络攻击，并参与对华为等企业的网络攻击活动。

技术团队还发现，两所美国高校——加利福尼亚大学、弗吉尼亚理工大学也参与了本次网络攻击。

哈尔滨市公安局的悬赏公告。

哈尔滨市公安局表示，已决定公开悬赏通缉上述3人，凡向公安机关提供有效线索的举报人，以及配合公安机关抓获有关犯罪嫌疑人的有功人员，公安机关将给予一定金额的奖励。

在锁定攻击的幕后黑手后，一个仍待解答的重要问题是，为何亚冬会期间被视为发起高频网络攻击的好时机？

360高级威胁研究院副院长边亮告诉南都·隐私护卫队，国际大型体育赛事经常成为网络攻击的重点目标。攻击者试图通过瘫痪系统制造混乱，形成负面舆论，破坏主办国形象。同时，这类国际赛事通常涉及众多政府官员、运动员的个人信息和行程安排，以及安保部署、设备调控、场地管理、票务支付等方面数据，一旦系统被攻破后数据外泄，可能造成严重后果。

哈尔滨市公安局也对外表示，亚冬会不同阶段所遭遇的网络攻击表现出差异。赛前攻击行为主要集中在亚冬会注册系统、抵离管理系统、竞赛报名等重要信息系统。这些系统保存有大量赛事相关人员身份敏感信息，NSA意图利用网络攻击窃取参赛运动员的个人隐私数据。

随着2月3日第一场冰球比赛开启，相关网络攻击达到高峰，攻击重点方向为赛事信息发布系统（包括API接口）、抵离管理系统等赛事过程保障系统，试图扰乱亚冬会赛事的正常运行。而针对黑龙江省内关键信息基础设施的网络攻击，目的在于引发社会秩序混乱和窃取相关领域重要机密信息。

据实战安全专家介绍，NSA主要围绕特定应用系统、特定关键信息基础设施、特定要害部门开展网络渗透攻击，涵盖数百类已知和未知攻击手法，攻击方式超前——包括未知漏洞盲打、文件读取漏洞、短时高频定向检测攻击、备份文件及敏感文件及路径探测攻击、密码穷举攻击等，攻击目标、攻击意图明显。

边亮对南都·隐私护卫队表示，亚冬会期间遭遇的网络攻击呈现出规模广、频次高、专业化等特点。需要警惕的是，此次还发现，NSA掌握着大量不为人知的0Day漏洞（即未公开过也未修复的漏洞），通过这些漏洞可以攻击操作系统后植入特定木马，进行潜伏预埋。

“它们类似‘定时炸弹’，随时可以通过发送加密字节数据进行唤醒。”他说。

“国家队”下场对国际大型体育赛事系统实施恶意攻击，在网络安全专家看来，这并不令人意外。

边亮告诉南都·隐私护卫队，截至目前，360共发现了56个包括NSA在内的境外国家级APT（高级持续性威胁）组织，占国内所有被发现APT总数的98%。这些APT组织长期对我国关键基础设施、科研单位、政府机构开展网络攻击行动。

比如在2022年，360方面就曾发现NSA通过钓鱼邮件对承担了国家多个重点科研项目的西北工业大学发起网络攻击，并上报了相关部门；2023年，武汉市地震监测中心部分设备遭受网络攻击，经360等多方研判，发现了符合美国情报机构特征的后门恶意软件，攻击目的是窃取地质数据。

随着大模型等技术的发展，当前网络攻击还呈现AI化趋势。此次哈尔滨亚冬会期间，网络攻击者就用上了AI的“长枪大炮”。

据边亮介绍，360对攻击代码研判后发现，此次攻击采用AI智能体进行工具方案规划、漏洞探寻、流量监测，部分代码明显由AI书写，可在攻击过程中自动、快速编写动态代码实施攻击。

这意味着，利用大模型加上AI智能体，可复制出大量数字黑客，在多个目标点进行漏洞探寻、自动设计作战方案和生成攻击工具，实施无差别攻击，且数字黑客反应速度远超人类。

在网络安全保障团队的共同努力下，尽管此次网络攻击未对亚冬会赛事造成严重影响，但凸显了当前国内网络频繁遭受境外攻击的严峻形势。特别是当AI成为网络攻击的“帮手”，该如何应对？边亮建议 “以模制模”，用安全大模型解决大模型安全问题，以智能化、自动化思维对抗新型网络攻击。

他告诉南都·隐私护卫队，按照传统方式靠人力筛选网络攻击目标，往往需要很高的时间成本，且个别漏洞可能被忽视。但借助大模型技术，则能对海量数据实施快速分类和筛选，分析异常行为特点并找出薄弱环节，从而实施针对性抗击。另一方面，大模型凭借强大的学习能力，对过往类似攻击情况有很深积累，能够快速对比识别具有攻击性质的动态代码，进而及时发出警告、作出防御。

网络安全无小事，任何一环都有可能成为被攻击的对象。边亮建议，国家相关部门建立APT攻击免责机制，并对主动报送重要线索的行为予以奖励；同时引导关键基础设施单位、重要敏感单位与有能力的网络安全企业主动合作开展APT排查工作，定期开展实战性攻防演练，检查和提高网络安全能力。

采写：南都记者李玲 樊文扬 发自北京

编辑：黄莉玲

本文作者

李玲

3.63亿

南方都市报记者

黄莉玲

1.52亿

南方都市报记者