面对神秘商人“卡尔·米勒”这条若隐若现的线索,陈凯带领的技术团队发起了新一轮的攻坚。既然直接追踪资金和身份困难重重,那就从他必然留下的数字痕迹入手——他是如何与刘伟、张岚,乃至幕后可能的黑手联系的?又是如何接收那庞大技术数据的?
“这种级别的商业间谍,绝不会使用普通的通讯软件和邮件。”陈凯斩钉截铁地说,“一定是通过加密信道,甚至利用暗网进行联系和数据传输。”
技术团队调整方向,不再执着于追踪“卡尔·米勒”的真实Ip,而是开始深度分析两家公司被入侵时间段内,所有出站网络的流量日志,寻找异常的数据流出。
这是一个更为精细的活儿。海量的正常业务数据如同奔涌的江河,而要从中找出那一丝代表泄密的“暗流”,需要极度的耐心和技巧。
陈凯再次动用了“警务成长助手”系统的强大功能,设定了极其苛刻的筛选条件:非业务时间段、异常大的数据流量、指向境外非常用Ip段、流量加密特征……
系统全功率运行,屏幕上的数据流令人眼花缭乱。
数小时后,一个极其隐蔽的数据通道被成功剥离出来!
“找到了!”陈凯的声音因兴奋而有些沙哑,“在‘微瞳科技’被入侵的周日凌晨一点左右,有一条加密数据流,伪装成正常的云备份流量,但数据包校验模式和加密算法与公司标准完全不同!它的目的地不是公司的云服务器,而是一个位于…立陶宛的Ip!”
立陶宛!一个常见的网络跳板地。
“流量有多大?”
“大约3.5tb!正好与‘微瞳’被窃取的核心数据压缩后的估算体积吻合!”陈凯快速计算后回答。
几乎同时,在“深思数据”的网络日志中,也发现了类似的情况,同样是在其被入侵的时间段,有加密数据流指向另一个位于拉脱维亚的Ip,流量巨大!
“立刻追踪这两个Ip!看看它们到底是何方神圣!”陆野下令。
追踪结果很快出来:两个Ip都属于那种提供“ bulletproof hosting ”(防弹主机,指对内容监管极其宽松的主机服务)的服务器租赁商,租用人信息全是假的,支付用的是比特币。服务器本身现在也早已清空,什么都没留下。
对手异常谨慎和专业。
然而,陈凯并没有气馁。他采取了另一种策略——关联比对。
“既然两个案子极有可能是同一伙人所为,他们使用的主机服务商虽然不同,但行为模式可能有共性。”他将两个Ip以及之前发现的与“卡尔·米勒”有关的可疑Ip全部输入系统,进行深度行为特征分析。
“有发现!”陈凯再次报喜,“虽然Ip不同,运营商不同,但这些服务器在案发前后一段时间内,都曾主动连接过同一个…域名系统(dNS)服务器!这个dNS服务器的地址很冷门,而且位于荷兰。”
一个共同的dNS服务器!这像是一个隐藏在多重伪装下的共同点!
“查这个dNS服务器的日志!看还有哪些Ip连接过它!特别是案发时间段前后的!”陆野意识到这可能是打开突破口的关键。
通过国际刑警渠道协调取证需要时间,但这无疑是方向性的重大进展!