笔趣阁

爱去小说网>三角洲行动之第三次世界大战 > 第35章 设陷捕鼠(第2页)

第35章 设陷捕鼠(第2页)

按现行规定,凡涉及核电、半导体军工及国家核心基础设施的网络攻击,无论金额大小,一律由安保司令部依职权接手。

露娜作为军事安保支援司令部的网络分析代表,与nIs(韩国国家情报院)、尔地方警察厅和msIt(韩国科学技术信息通信部)的同行一同被召入联合调查组。

在联合调查组的第一次会议上,nIs的代表——一个头已经半白的分析官——用激光笔指着投影幕布上的攻击时间线,强调这些攻击不是孤立的,而有某种系统性特征。

他说到二百毫秒的规律时,露娜注意到他没有提到攻击入口的Ip段之间的关联性,Ip段分布在不同国家的托管商名下,但注册邮箱的域名后缀存在高度的一致性。

等分析官讲完,她打开自己的笔记本电脑,把那几组关联域名投到幕布上,用激光笔圈出它们的共同点——所有注册邮箱后缀的域名注册时间集中在同一周,注册人的姓名虽然各不相同,但中间名的缩写都是同一个字母。

缩写对应的名字在公开信息中检索不到关联,但在暗网论坛的某些加密帖子里出现过,与一个代号“黑穗”

的组织有关联。

会议桌旁的人都转过头来看投影幕布上的几行信息。nIs的分析官重新坐了回去,警察厅的代表拿起笔,在会议记录本上奋笔疾书。msIt的人侧过身跟旁边的同事低声说了几句,面面相觑。

露娜把剩下的信息讲完,大约用了八分钟,投影仪的散热风扇在头顶嗡嗡地响。

会后,调查组组长把她单独留下,问她这些数据是从哪里找的。

她坦诚相告,日志都是公开的,域名注册信息也是可以直接查询的。

组长没再追问,只说了一句“你的分析方向,可以继续走”

,就挥手让她出去了。

接下来的三周,露娜把所有与“黑穗”

相关的攻击事件整理成矩阵,横轴是攻击时间,纵轴是攻击手法和目标类型。

她在矩阵的右上角留了一块空白,应该出现尚未生的下一次攻击。

根据前五次攻击的间隔周期推算,下一次攻击大约会在十一月中旬出现,攻击目标可能是对九家以上供应商有所依赖的核心集成商,这类公司在尔近郊的工业区分布较为集中,网络架构大多是十年前建成的旧系统,升级的间隔期偏长,漏洞也更密集。

她跟组长提出搭建虚拟诱饵服务器的方案,内容包含五个部分:服务器配置、诱饵数据的构成、攻击行为的监听方式、日志的实时备份、以及反追踪触条件。

组长花了四十分钟看完十九页的方案书,期间没有抬头,翻页的节奏均匀,像在读一份不需要额外斟酌的报告。

诱饵服务器的搭建花了六天,露娜负责配置其中的诱饵数据部分,把真实的采购订单和物流信息做了脱敏处理后放进去,使数据看起来像是某个大型集成商的内部文件,目录结构模仿了韩国国防工业常用的编号规则,延用至三个字符的缩写段位。

服务器上线后的第二天,日志里出现了第一次试探性扫描。扫描来自一个位于东欧的跳板节点,扫描的深度刚好停在诱饵文件的第一层目录前,没有进入更深的层级。

她把痕迹记录下来,没有采取任何动作,欲擒故纵。

试探持续了四天,每次的时间都不长,最短的一次只有三分钟,最长的一次不到十二分钟。

到第五天,攻击者进入了第二层目录,读取了一个名为“采购清单_四季度”

的文件。这个文件是露娜专门设计的,里面包含一组虚构但符合行业惯例的采购条目,条目中嵌入了一个能够触反向追踪的数据包,像一枚埋在文档里的地雷,只有在远程打开时才会触引信,留下的痕迹非常浅,浅到大多数防火墙会把它当作普通的连接丢失,不会出警报。

第十天凌晨两点四十七分,攻击者进入了第三层目录。露娜在地下室的监控室里值班,屏幕上显示诱饵服务器正在被访问,数据流以恒定的率向外传输。

她设置了日志分秒备份,数据包的分路径清晰地记录在上——从东欧节点到东南亚托管商,再到一个位于亚洲某国境内的物理地址,该地址对应的注册信息在公网数据库中查不到,但根据路由节点之间的延迟差推算,它的实际位置不可能出某座城市的范围,城市的名字在露娜的脑海里形成了初步的轮廓。

她把数据写入备份盘里再对照了三次,等所有数据都确认无误,才在值班日志上写下地名。

攻击者没有意识到自己已经暴露,仍在诱饵系统内停留了大约二十分钟,期间遍历了六个目录并下载了三个文件。

露娜没有切断连接,她需要观察对方在获取数据后会如何行动。

攻击者在下载结束后立刻断开连接并清除了部分访问日志,但日志的备份早已被自动系统实时复制到离线存储中,即使他把原始记录全删了也没用,因为露娜在搭建服务器的第二天就已经关闭了覆盖功能,只允许追加,不允许修改。

天亮之前,她写完了初步追踪报告。报告结论很简短:攻击路径上的物理节点位置经多次校验,无法被一般跳板完全掩盖;其出口网关的地理范围收敛于同一座城市,而这座城市恰好是哈夫克集团在亚洲部署数据中心的主要节点所在城市之一,二者在路由层共享至少三个共同的自治系统编号。

为了避免不必要的麻烦,她没有在报告中直接点名哈夫克,只写了自治系统编号和可能的运营商特征。

报告提交后,上级的反馈比她预想的快了三天,由崔中校口头转达——组长在电话里只说了几个字,措辞简短,语气平静——“先把诱饵服务器撤了”

她没有接到任何正式书面指令,也没有人告诉她接下来该怎么做,就这么等了三天。

这三天里,她尝试通过内部系统的数据库回溯那个物理地址的更多信息,但访问请求被系统自动拒绝了两次——

第一次是权限不足,第二次是查询被标记为“低优先级”

,排在了队列末尾。

她本来打算换个入口再试一次,结果还没动手,就接到了组长办公室的直接召唤:

“金中尉,来办公室一趟。”

已完结热门小说推荐

最新标签