为什么美国能确定中国军方黑客的身份？因为NSA就在网络中看着中国黑客发动攻击。这是前NSA合同工Edward Snowden提供的机密文件（PDF）透露出的信息。Jacob Appelbaum等人在德国《明镜》周刊上报道，NSA很早就开始为未来的网络战做准备，它曾招募入侵和破坏计算机网络的实习生。大规模监视只是美国数字战策略的“零阶段”，根据NSA内部文件，互联网监视的目标是为了探测敌方系统的漏洞，之后还有渗透进敌方系统秘密植入远程控制工具，一旦获得了对方系统的永久访问权限之后，数字战的第三阶段才算达到。NSA的远程操作中心（ Remote Operation Center）代号为S321，位于NSA总部一主建筑物的三层，其成员都是黑客。2009年，NSA的一个部门注意到五角大楼遭到了入侵，NSA跟踪了一个充当攻击指令控制中心的亚洲IP地址。在侦查工作的末尾，美国人不仅仅成功跟踪到了位于中国的攻击发起点，而且还获取到其他中国人攻击的情报信息——包括从联合国窃取到的数据。在中国人继续秘密收集联合国内部数据时，NSA的工作人员就透过他们的肩膀阅读这些数据。NSA在2011年的一份文件中报告了这一成功消息。过去十年NSA成功探测到了大量源自中国和俄罗斯的间谍活动，他们跟踪中国的控制服务器IP地址，探测到了解放军内的相关人员。NSA报告说，由于中国人经常更换IP，跟踪并不容易，但在最后他们成功利用一个中心路由器的漏洞。NSA文件还透露，他们成功渗透进了一位中国军方高级军官的电脑，访问到了与美国政府和其它国家政府目标的相关信息。他们还访问到了中国恶意程序的源代码。