拿下秦风的口供,是案件的重大突破,但专案组并未松懈。要最终定案,尤其是要将神秘的“卡尔·米勒”绳之以法,更需要扎实的、无可辩驳的电子证据和物证。这方面,依然是陈凯主导的技术团队的主战场。
陈凯和他的队员们几乎住在了实验室和数据中心。他们的目标是将“卡尔·米勒”的数字身份与其物理身份进行关联,形成完整的证据闭环。
一方面,他们继续深化对那两家受害企业被入侵时的网络流量分析。虽然之前已经定位到了海外的数据接收服务器和那个共同的荷兰dNS服务器,但陈凯相信,对手如此狡猾,一定还有更深层次的隐藏痕迹。
他们对海量的网络日志进行了二次甚至三次的深度清洗和挖掘,运用了更先进的算法模型来识别异常模式。
“野哥,有重大发现!”陈凯的声音带着熬夜后的沙哑,却难掩兴奋,“我们重新分析了‘微瞳科技’防火墙在案发当晚的一段异常告警日志,当时认为是一次失败的端口扫描而被忽略。但现在我们发现,这次扫描的源Ip地址,虽然也是伪造的,但其扫描的手法、选择的端口序列、甚至数据包的时间间隔,与三年前国安部门通报过的一起针对军工科研所的网络攻击事件中使用的工具特征,高度相似!”
这个发现非同小可!这意味着,攻击者使用的很可能是某个具有国家背景或极高专业水平的黑客组织开发的专用工具,而非普通的商业间谍软件。
“能关联到具体组织吗?”
“很难,国安的通告也很模糊,只说是某个‘Apt’(高级持续性威胁)组织所为。但这大大提升了对手的层次和危险性。”陈凯面色凝重。
另一方面,技术团队加强了对刘伟和张岚电子设备的取证分析。虽然他们 likely 是被害者,但他们的电脑、手机无疑是“卡尔·米勒”重点攻击的目标。
取证专家对两人的设备进行了磁盘底层扇区的深度恢复,不放过任何已删除文件的残留数据。
功夫不负有心人!在张岚的一台已经淘汰的旧笔记本电脑的硬盘空闲簇中,恢复出了一小段被删除的聊天记录片段!虽然内容残缺不全,且经过了加密,但通过技术手段部分解密后,出现了关键信息:
[…协议…尾款…瑞士…UbS…账户…]
[…数据验证后…支付…]
[…“K.m.”…]
“K.m.”!这极有可能就是“卡尔·米勒”(Karl muller)的缩写!
而“瑞士UbS账户”,则提供了一个可能的资金流转关键节点!
几乎同时,周婷那边通过对秦风提供的、与“米勒”联系的加密软件名称(一个极其小众的软件)进行溯源分析,结合国际刑警组织共享的情报,发现该软件的少数几个活跃节点中,有一个Ip地址曾在本市有短暂且隐蔽的登录记录!时间点就在其与秦风最后一次联系前后!
这个Ip地址经过追踪,指向本市一家高端涉外酒店的商务中心公共网络!
“他很可能还在本市!或者不久前还在!”陆野判断。
所有线索开始收束:模拟画像、可能的资金渠道(瑞士银行)、黑客工具特征、在本市的活动Ip痕迹……
尽管“卡尔·米勒”依旧像一个幽灵,但其轮廓已经越来越清晰。
陆野召集了专案组所有成员,进行收网前的最后部署。
“同志们,‘卡尔·米勒’及其团伙,涉嫌策划并实施了两起特大商业间谍案,窃取我国重点企业核心机密,性质极其恶劣,危害巨大。”陆野目光扫过众人,语气斩钉截铁,“现在,收网的时候到了!”
“技术组,继续严密监控所有已发现的线索渠道,特别是那个加密软件节点和酒店Ip,一旦有活动迹象,立刻精准定位!”
“外勤组,李伟负责,对那家涉外酒店进行秘密布控,调取所有相关时间段的监控录像,进行人脸识别比对,确认‘米勒’是否曾入住或其真实身份!”
“经侦组,立刻通过国际司法协作渠道,申请查询瑞士UbS银行那个特定账户的信息,虽然希望渺茫,但必须尝试!”
“通知经侦支队的同志,准备对已查实的、为‘米勒’转移资金的那些皮包公司负责人进行收网,进一步固定资金链证据!”
“行动务必绝对保密!‘米勒’及其团伙极其警觉,任何风吹草动都可能导致其潜逃境外!我们要确保一击必中!”
命令一道道下达,各部门迅速而有序地行动起来。一场针对高科技商业间谍的立体围剿网,悄然撒开。夜幕降临,城市的霓虹闪烁,一场无声的较量即将迎来高潮。