省公安厅技术中心的灯光从凌晨一点亮起之后就再也没有灭过。
服务器机柜上的指示灯大多已经熄灭,只有离线备份硬盘的绿色指示灯还在有节奏的闪动。
老秦坐在工位上,面前摊着三份技术分析报告和半杯已经凉透的浓茶。
他的眼睛布满血丝,但精神高度亢奋,作为在技术部门工作二十多年的老人,他不甘心失败。
第三次复核了攻击溯源数据,得出了一个让他后背一阵阵发凉的结论。
对方用的攻击工具,是专门针对省公安厅这套文件管理系统底层漏洞定制的,市面上没有任何已知的恶意软件能匹配其特征码。
换句话说,攻击者不仅知道他们要打哪台服务器,还知道这台服务器跑的是什么系统、用的什么版本、打了哪些补丁、留了了哪些备用端口。
这已经不是普通黑客能做到的事情,虽然黑客号称无所不能,省公安厅的系统也是多层加密,防御等级也是极高。
到底是谁泄露秘密?
这时门外传来一阵急促而整齐的脚步声。
老秦抬起头,技术中心的门被推开,省公安厅长王山大步走了进来,他的身后跟着三个人,都是生面孔。
这三个人穿着便装,每人手里拎着一个黑色的设备箱,箱体上没有任何标识,只有一串白色的编号。
走在最前面的是一个四十岁左右的男人,戴着一副银色细框眼镜,身材清瘦但步伐极稳,目光扫过机柜上那些熄灭的指示灯时,眉头微微皱了一下,但很快就恢复了平静。
“王厅。”
“老秦啊,这位是国家网络安全应急响应中心的林工,这两位是他的助手。”王山的声音很沉,但语气里透着一丝难得的放松,“上级派来支援我们省厅的专家,这方面的绝对高手,凌晨三点刚从机场接过来。”
老秦腾地一下站了起来,椅子差点翻倒。
他上前握着林工的手,嘴唇动了动,像是有很多话要说,但最终只挤出了两个字。
“辛苦。”
林工点了点头,没有寒暄,直接把设备箱放在桌上打开,“具体遭受攻击情况我们已经在飞机上看了一遍你们上报的技术报告。攻击方应该是境外的暗网猎手,国际顶级黑客犯罪组织,擅长使用定制化攻击工具和零日漏洞,攻击特征和我们之前在国际上追踪的几个案子高度吻合。你们在受到攻击的第一时间里切断了全部在线服务器的物理电源,这个决定是对的。再晚几分钟,你们的离线备份路径也会被打穿。秦工,你的第一反应救了这批数据一命。”
他一边说一边从设备箱里取出一台笔记本电脑和几台巴掌大的便携设备,动作干净利落。
两个助手也已经各自就位,一个在服务器机柜前蹲下身子检查交换机端口,另一个在旁边的空桌上快速搭建起一套临时网络监控系统。
“但有一个问题我需要先问清楚。”林工推了推眼镜,目光从镜片后面直直地落在王山和老秦身上,“暗网猎手从不轻易接单。他们的要价极高,目标选择极其谨慎,一般只对高价值目标下手,比如跨国企业的核心数据、国家级科研项目、关键基础设施控制系统。一个省级公安厅的涉案数据,虽然敏感,但还不至于让他们亲自下场。他们这次动手,要么是雇主开了一个让他们无法拒绝的价码,要么是雇主本身跟他们有长期合作关系。换句话说,想毁掉这些数据的人,不仅有足够多的钱,还有足够高的权限。这个人,你们在查没有?”
林工说完,技术中心里安静了几秒。
王山和李威彼此对视了一眼,两个人同时想到了那个被标注为“领导”的加密通讯ID。
“在查。”李威开了口,“我们有线索,正在想办法追查。”
“那就好。”林工没有追问,只是重新低下头,手指在键盘上飞速敲击,屏幕上开始跳动一行行密密麻麻的命令行。
他把老秦此前采集的攻击流量数据导入自己的分析工具,开始逐层拆解攻击包的结构,每一个数据包的来源、路径、加密方式、伪装特征,都被拆成了最原始的十六进制代码,然后重新拼成一条完整的攻击时间线。
大约二十分钟后,他停下了敲键盘的手指,指着屏幕上一条正在闪烁的红色曲线,“你们来看。”
所有人围了过去,这方面的知识极其专业,李威眉头皱紧,对黑客攻击方面,确实不太了解。
屏幕上是一条网络流量曲线图,时间轴从黑客发起第一次渗透扫描开始,一直延续到老秦物理断电的那一刻。
曲线在大部分时间段里都维持在高位,但在几个特定的时间节点上,曲线突然骤降,然后又迅速回升。
“这几处骤降不是我们防火墙的拦截效果,防火墙当时已经被打穿了。”林工指着那几个低谷的位置,“这是攻击方在调整攻击方向。每次骤降之后,攻击流量就会切换到一个新的目标端口,而且新端口的准确率极高,几乎每一击都能命中你们的薄弱环节。”
他抬起头,看着老秦,“秦工,你在报告里提到攻击方对你们的文件架构和存储路径极其熟悉。现在我可以确认你的判断,攻击方在发动第一轮攻击之前,就已经拿到了你们内部网络的完整拓扑图。他们知道哪台服务器跑的是主控系统,哪台是备份系统,哪台是日志服务器,每一台设备的IP地址、端口号、系统版本、补丁状态,他们都知道。”
老秦的嘴唇哆嗦了一下,“我们内部有泄密点。”
“对。”林工的语气没有任何波动,但眼神里透出一种猎人嗅到猎物气息时的锐利,“而且这个泄密点还在运行。你们的嗅探器日志里有一条记录,黑客在攻击被强制中断后,还向你们内网的某个IP地址发送过两次心跳检测信号,间隔时间精确到毫秒级。这意味着你们内网里有一个设备在回应他们的探测。这个设备目前是离线状态,所以探测失败了,但这个设备的确切位置,就藏在你们省公安厅大楼里。所以你们有没有找到那个隐藏在内部网络的节点?”
李威把马天明调阅电子物证移交清单的流转记录以及马锋被捕当天深夜发给“领导”的那条加密消息的内容,简明扼要地告诉了林工。
林工听完沉默了几秒,然后摘下眼镜,用袖口慢慢擦着镜片。
“嫌疑人已经死了,他身上那部手机又在警方手里,对方不可能再用这台设备发出风险极高的心跳检测信号。他们要么在等待新的内线上线,要么已经确认了当前局势下的安全性。”
他顿了顿,重新戴上眼镜,“现在他们在暗,我们在明,我们要做的不是被动防守,而是反制。用他们的嗅探器,追踪他们的跳板,一层一层剥开他们的伪装,找到他们的老巢,让他们为自己的行为付出代价。我已经把嗅探器反向接入了我们的追踪系统,从这一刻起,他们每发送一次心跳信号,我们就能锁定他们一个跳板的位置。只要他们继续尝试跟内网设备建立连接,我们就顺着这条线摸回去,一个跳板一个跳板地拆,直到拆到他们核心服务器的物理地址。”
他敲了一下键盘,屏幕上调出一个新的界面。
界面上是一幅全球地图,地图上有几个红点在闪烁,那是已经锁定的跳板节点位置,分布在东南亚、北欧、南美等不同地区。
“这场仗,我们要打回去。不是他们想撤就能撤的。”林工转头看着王山和李威,声音不高,但每个字都带着一股铁锈般的韧劲,“他们动了我们的数据,就必须付出代价。”
这时林工推了推眼镜,镜片后面的目光带着一股沉静如铁的决心,嘴角微微上扬,“用他们的矛攻他们的盾。他们不是想盯着我们的一举一动吗?可以,那就让他们看我们给他们准备的虚假数据包,我们就在关键时间节点放出一连串相互矛盾的诱饵情报,看他们急不急。敢动我们的底线,就必须拆了他。”
“对,拆了他,直接开干。”
技术中心里安静了不到三秒钟,林工的耳机里突然响起一阵尖锐的警报音。
他猛地转身扑回电脑前面,手指以肉眼几乎跟不上的速度在键盘上疯狂敲击,屏幕上瞬间弹出了十几个红色警告框。
“他们又来了!”
老秦几乎是跳着冲到自己工位上,额头上青筋暴起,“这帮王八蛋还敢来?老子这次非得…”
“别吵。”林工的声音忽然变得极其冷静,和他手指在键盘上刮起的风暴形成了诡异的反差。他的目光在镜片后面快速扫过每一个弹窗的数据流,嘴里以一种近乎机械的语速报出一连串IP地址和端口号,两个助手立刻分头行动,一个开始部署反向追踪节点,另一个在备用服务器上迅速搭建起一个虚拟的数据诱饵环境。
“这轮攻击的目标换了。”林工的手指顿了一下,然后以更快的速度敲出一串防御指令,“他们换了主攻方向,想从你们的备份路径反推在线存储的残余数据。动作非常快,用的是新型量子加密隧道,穿透力比第一轮攻击强了一倍多。秦工,你们省厅那台日志服务器的端口封了没有?”
“早封了!”老秦几乎是吼着回答,“所有对外端口全部物理切断,他们除非把整栋楼炸了,否则甭想。”
话音未落,屏幕上突然弹出一个巨大的红色警告框,刺耳的警报声再次响起。
日志服务器的离线备份节点上出现了一个微小的数据异常,有人在试图用暴力破解的方式强行打开一个已经被物理关闭的备用端口。
“好,够狂!”林工推了推眼镜,嘴角那条微微上扬的弧线里藏着一股连他自己都没察觉到的兴奋,“他们开了一个我们根本没法在现有条件下防御的极端攻击模式,每秒往备用端口塞进几千万次握手请求。如果端口被硬生生撞开,内网纵深防御会在三分钟内被彻底打穿。常规手段根本扛不住这个量级的洪水攻击。”
老秦咬着牙把键盘敲得噼啪响,“那我再加三层防火墙,把备用服务器的响应阈值降到最低。”
“不用。”林工忽然抬起手,打断了老秦的操作。
他盯着屏幕上那条正在疯狂飙升的攻击流量曲线,眼神里闪过一丝极其锐利的光芒,然后转过头看着老秦,声音不高但每个字都像钉子一样钉进了空气里,“他们用的是一种量子加密隧道的暴力破解方式,这种攻击模式有一个致命弱点,攻击方必须和嗅探器建立双向连接,否则同步密钥会在五秒内失效。他们目前连接的是我们设置的拦截系统,所有的攻击指令都必须先经过我之前布置的那个反向追踪陷阱,才能到达内网边缘。所以他们每打出一发子弹,就等于在向我们暴露他们自己的位置。”
他敲了一下键盘,屏幕上调出那个全球追踪地图。
地图上原本只有几个红点在闪烁,现在红点数量暴涨到了十几个,每一个红点都代表黑客使用的一个跳板节点。这些红点正在以肉眼可见的速度分布在东南亚、北欧、南美、东欧的多个国家和地区。
“老秦,”林工的镜片上倒映着屏幕上密集跳动的红点,他的嘴角微微上扬,镜片后面的目光带着一股沉静如铁的决心,“你听好了。从现在开始,你负责内网的流量牵引,把我的诱饵数据包混在正常的数据流里,让他们看到我们想让他们看到的东西,让他们以为我们正在拼命防守某个根本不存在的核心数据节点,把全部攻击火力吸引过去,给反击争取时间。你不用管他们打得多凶,流量再大你也不许关服务器,就让他们打。而我就带着我的小队从追踪路径的另一端开始拆跳板,他们每拆我们一根线,我们就拆他们两根。他们火力全开,我们就趁这个机会把他们的暗门一个一个拆干净。把他们的矛引过来,然后用我们的矛刺回去。”
“明白。”老秦把键盘拉到自己面前,深吸一口气,十根手指同时落在键盘上。
屏幕上的数据流开始按照他编写的牵引程序重新分布,一个精心构造的虚拟数据节点在备用服务器上缓缓成形。
这个节点伪装得极其逼真,里面有看似完整的文件架构、存储路径和加密数据包,但它指向的是一个根本不存在的空目录。
一旦黑客咬住这个诱饵,他们的全部攻击火力都会被牵引到这个虚假目标上,而真正的核心数据则通过另一条完全独立的物理通道进行离线转移。
“林工,”李威站在林工身后,声音沉稳而有力,“攻击方会识破这个诱饵吗?”
“一定会。”林工头也不回,手指在键盘上快得几乎拖出了残影,“但他们识破之前,我们已经在他们的路径上留下了足够多的追踪标记。诱饵的真正作用不是骗他们,是拖住他们,哪怕只拖住十分钟,我们的反向追踪就能锁死他们至少一个核心节点的物理地址。所以诱饵做得越真,他们就会在虚假目标上建立越多的连接,就越容易在我们设置的反向追踪系统中留下可追溯的痕迹。”
他一边说一边敲下最后一串指令,屏幕上那条一直向上攀升的攻击流量曲线突然陡直上升,像一根被拉满的弓弦猛然弹开。
所有的攻击流量在一瞬间被牵引到了虚假节点上,真正的核心数据服务器在整个攻击浪潮中毫发无损。
“咬钩了。”林工的声音平静得像在报告一个技术参数,但他的手指在按下回车键的那一刻轻微地颤抖了一下,随即握紧成拳。
屏幕上地图上的红点开始加速闪烁,追踪系统正在逐层标记黑客的跳板节点,一个接一个的IP地址在日志文件里滚动跳出,东南亚的云服务器、北欧的VPN出口、南美的代理节点,每一条都被标注了精确的物理位置。
“反击。”他用一种近乎陈述事实的语气说出了这两个字,随即敲下了反制程序启动的指令。
屏幕上追踪系统开始反过来向黑客的核心节点发送渗透数据包,这些数据包伪装成跳板节点之间的正常通讯协议握手信息,但实际上携带了林工自己编写的代码包,能够在目标节点上自动释放并建立一个新的反向连接。
耳机里传来一声短促而压抑的咒骂—是攻击方某个成员在内部频道里的声音。几秒后,屏幕上那些攻击流量曲线开始剧烈波动,对方明显察觉到了反制程序的存在,紧急调整策略以闪电般的速度关闭了最外围的两层跳板,试图切断反向连接。但反制程序已经穿透了这七层跳板,直接嵌入了最后一层核心节点的内存缓冲区。
攻击方的反应也非常迅速,核心节点在被穿透的那一刻立刻启动了自动清理程序,开始逐一切断所有外部连接,包括他们自己部署的嗅探器、跳板代理和加密隧道。
屏幕上那些攻击流量曲线开始逐条断裂,从外围的跳板节点一路向内收缩,像被割断的绳索一根根崩断。
不到半分钟时间,地图上闪烁的红点熄灭了一半,剩下的红点也在加速减少,对方在以惊人的速度销毁自己留下的所有痕迹。
林工的手指在键盘上敲得更急了,追踪程序的最后一层反制指令已经抵达了对方的物理层。
屏幕上弹出了一个正在加载中的定位坐标,经纬度数字在一格一格地跳动,目标位置正在从模糊的轮廓收敛成一个精确的点。
就在这时,对方的攻击源核心服务器突然在追踪地图上彻底消失,所有攻击流量同时归零,屏幕上只剩下一片死寂的空白和一行冰冷的提示文字。
“连接已断开。目标已不可达。”
“他们炸了服务器。”林工靠在椅背上,推了推眼镜,语气里没有遗憾,只有一种冷静到近乎冷酷的判断,“不是切断连接,是物理毁掉了整台核心服务器。他们在最后一层核心节点里预设了自毁程序,一旦被定位就会自动触发物理熔断,电流过载烧毁主板和存储芯片,整台机器在几秒钟内变成一堆熔化的硅渣。就算将来我们找到那个物理地址,也拿不到任何数据。”
他摘下了耳机,屏幕上的攻击流量监控界面已经变成了一片空白,所有的红色警告框逐一熄灭,取而代之的是系统日志里密密麻麻的追踪记录数据。
“暗网猎手组织的核心服务器确实炸了,短期内他们没有能力再对我们发动大规模攻击,但在内网里打的几个隐蔽后门还在。马锋被杀案、马天明坠楼案、陈雅丽犯罪组织案的完整证据链已经全部转移到离线备份硬盘,在线修复工作可以在三天内完成。最重要的是,我们拿到了他们所有跳板节点的完整追踪数据和物理地址,这些数据可以共享给国际刑警组织和相关国家的网络安全部门,对他们启动跨国追捕程序,除非他们这辈子再也不碰任何联网设备,否则迟早会落网。”
他站起身,转过身来看着王山和李威。
技术中心里一片狼藉,地上散落着被匆忙扯开的数据线和空的咖啡罐,服务器散热风扇重新启动后的低频嗡鸣声像平息下来的战鼓。
窗外晨光初现,第一缕灰蓝色的曙光从窗帘缝隙里透了进来,落在林工那双布满红血丝的眼睛上。
他伸出手扶了扶眼镜,依然难掩兴奋,用力挥舞拳头。
“这场仗,我们赢了。”