面對神秘商人“卡爾·米勒”這條若隱若現(xiàn)的線索,陳凱帶領(lǐng)的技術(shù)團隊發(fā)起了新一輪的攻堅。既然直接追蹤資金和身份困難重重,那就從他必然留下的數(shù)字痕跡入手——他是如何與劉偉、張嵐,乃至幕后可能的黑手聯(lián)系的?又是如何接收那龐大技術(shù)數(shù)據(jù)的?
“這種級別的商業(yè)間諜,絕不會使用普通的通訊軟件和郵件。”陳凱斬釘截鐵地說,“一定是通過加密信道,甚至利用暗網(wǎng)進行聯(lián)系和數(shù)據(jù)傳輸。”
技術(shù)團隊調(diào)整方向,不再執(zhí)著于追蹤“卡爾·米勒”的真實ip,而是開始深度分析兩家公司被入侵時間段內(nèi),所有出站網(wǎng)絡(luò)的流量日志,尋找異常的數(shù)據(jù)流出。
這是一個更為精細的活兒。海量的正常業(yè)務(wù)數(shù)據(jù)如同奔涌的江河,而要從中找出那一絲代表泄密的“暗流”,需要極度的耐心和技巧。
陳凱再次動用了“警務(wù)成長助手”系統(tǒng)的強大功能,設(shè)定了極其苛刻的篩選條件:非業(yè)務(wù)時間段、異常大的數(shù)據(jù)流量、指向境外非常用ip段、流量加密特征……
系統(tǒng)全功率運行,屏幕上的數(shù)據(jù)流令人眼花繚亂。
數(shù)小時后,一個極其隱蔽的數(shù)據(jù)通道被成功剝離出來!
“找到了!”陳凱的聲音因興奮而有些沙啞,“在‘微瞳科技’被入侵的周日凌晨一點左右,有一條加密數(shù)據(jù)流,偽裝成正常的云備份流量,但數(shù)據(jù)包校驗?zāi)J胶图用芩惴ㄅc公司標準完全不同!它的目的地不是公司的云服務(wù)器,而是一個位于…立陶宛的ip!”
立陶宛!一個常見的網(wǎng)絡(luò)跳板地。
“流量有多大?”
“大約3.5tb!正好與‘微瞳’被竊取的核心數(shù)據(jù)壓縮后的估算體積吻合!”陳凱快速計算后回答。
幾乎同時,在“深思數(shù)據(jù)”的網(wǎng)絡(luò)日志中,也發(fā)現(xiàn)了類似的情況,同樣是在其被入侵的時間段,有加密數(shù)據(jù)流指向另一個位于拉脫維亞的ip,流量巨大!
“立刻追蹤這兩個ip!看看它們到底是何方神圣!”陸野下令。
追蹤結(jié)果很快出來:兩個ip都屬于那種提供“bulletproofhos”(防彈主機,指對內(nèi)容監(jiān)管極其寬松的主機服務(wù))的服務(wù)器租賃商,租用人信息全是假的,支付用的是比特幣。服務(wù)器本身現(xiàn)在也早已清空,什么都沒留下。
對手異常謹慎和專業(yè)。
然而,陳凱并沒有氣餒。他采取了另一種策略——關(guān)聯(lián)比對。
“既然兩個案子極有可能是同一伙人所為,他們使用的主機服務(wù)商雖然不同,但行為模式可能有共性。”他將兩個ip以及之前發(fā)現(xiàn)的與“卡爾·米勒”有關(guān)的可疑ip全部輸入系統(tǒng),進行深度行為特征分析。
“有發(fā)現(xiàn)!”陳凱再次報喜,“雖然ip不同,運營商不同,但這些服務(wù)器在案發(fā)前后一段時間內(nèi),都曾主動連接過同一個…域名系統(tǒng)(dns)服務(wù)器!這個dns服務(wù)器的地址很冷門,而且位于荷蘭。”
一個共同的dns服務(wù)器!這像是一個隱藏在多重偽裝下的共同點!
“查這個dns服務(wù)器的日志!看還有哪些ip連接過它!特別是案發(fā)時間段前后的!”陸野意識到這可能是打開突破口的關(guān)鍵。
通過國際刑警渠道協(xié)調(diào)取證需要時間,但這無疑是方向性的重大進展!