麵對神秘商人“卡爾·米勒”這條若隱若現的線索,陳凱帶領的技術團隊發起了新一輪的攻堅。既然直接追蹤資金和身份困難重重,那就從他必然留下的數字痕跡入手——他是如何與劉偉、張嵐,乃至幕後可能的黑手聯係的?又是如何接收那龐大技術數據的?
“這種級彆的商業間諜,絕不會使用普通的通訊軟件和郵件。”陳凱斬釘截鐵地說,“一定是通過加密信道,甚至利用暗網進行聯係和數據傳輸。”
技術團隊調整方向,不再執著於追蹤“卡爾·米勒”的真實ip,而是開始深度分析兩家公司被入侵時間段內,所有出站網絡的流量日誌,尋找異常的數據流出。
這是一個更為精細的活兒。海量的正常業務數據如同奔湧的江河,而要從中找出那一絲代表泄密的“暗流”,需要極度的耐心和技巧。
陳凱再次動用了“警務成長助手”係統的強大功能,設定了極其苛刻的篩選條件:非業務時間段、異常大的數據流量、指向境外非常用ip段、流量加密特征……
係統全功率運行,屏幕上的數據流令人眼花繚亂。
數小時後,一個極其隱蔽的數據通道被成功剝離出來!
“找到了!”陳凱的聲音因興奮而有些沙啞,“在‘微瞳科技’被入侵的周日淩晨一點左右,有一條加密數據流,偽裝成正常的雲備份流量,但數據包校驗模式和加密算法與公司標準完全不同!它的目的地不是公司的雲服務器,而是一個位於…立陶宛的ip!”
立陶宛!一個常見的網絡跳板地。
“流量有多大?”
“大約3.5tb!正好與‘微瞳’被竊取的核心數據壓縮後的估算體積吻合!”陳凱快速計算後回答。
幾乎同時,在“深思數據”的網絡日誌中,也發現了類似的情況,同樣是在其被入侵的時間段,有加密數據流指向另一個位於拉脫維亞的ip,流量巨大!
“立刻追蹤這兩個ip!看看它們到底是何方神聖!”陸野下令。
追蹤結果很快出來:兩個ip都屬於那種提供“buetproofhosting”防彈主機,指對內容監管極其寬鬆的主機服務)的服務器租賃商,租用人信息全是假的,支付用的是比特幣。服務器本身現在也早已清空,什麼都沒留下。
對手異常謹慎和專業。
然而,陳凱並沒有氣餒。他采取了另一種策略——關聯比對。
“既然兩個案子極有可能是同一夥人所為,他們使用的主機服務商雖然不同,但行為模式可能有共性。”他將兩個ip以及之前發現的與“卡爾·米勒”有關的可疑ip全部輸入係統,進行深度行為特征分析。
“有發現!”陳凱再次報喜,“雖然ip不同,運營商不同,但這些服務器在案發前後一段時間內,都曾主動連接過同一個…域名係統dns)服務器!這個dns服務器的地址很冷門,而且位於荷蘭。”
一個共同的dns服務器!這像是一個隱藏在多重偽裝下的共同點!
“查這個dns服務器的日誌!看還有哪些ip連接過它!特彆是案發時間段前後的!”陸野意識到這可能是打開突破口的關鍵。
通過國際刑警渠道協調取證需要時間,但這無疑是方向性的重大進展!
喜歡刑偵天梯請大家收藏:()刑偵天梯書更新速度全網最快。