五月十五日下午三点,七〇三所网络安全监控室。
从上午十一点发现那台被植入U盘的老电脑异常,到下午三点,四个小时在高度专注的技术攻坚中流逝。监控室里气氛紧绷,李锐坐在中央控制台前,面前八块显示屏同时运行着不同的分析程序。他的坐姿比平时更前倾,手指在机械键盘上敲击的频率快得几乎产生残影。
徐浩然和另外三名技术员分别盯着各自负责的模块,偶尔低声交流几个专业术语。空调温度调得很低,但李锐的额头上还是渗出细密的汗珠——不是热,是精神高度集中时的生理反应。
“锐哥,底层日志恢复进度百分之八十七。”徐浩然报告,“但被覆盖的区域太多,完整还原可能需要……”
“不用完整还原。”李锐打断他,眼睛盯着中间那块屏幕上的十六进制代码流,“找关键字段。设备标识、通讯协议、目标地址。”
“明白。”
又过了二十分钟。监控室里只有键盘敲击声和服务器风扇的低鸣。下午的阳光从走廊窗户斜射进来,在地面上投出长长的光斑,但无人注意这些。
突然,李锐手指停顿,身体微微后仰:“找到了。”
所有技术员立刻围过来。中间屏幕上,一段被标红的代码段正在解析。那是从硬盘底层扇区恢复出来的、本该被彻底删除的系统日志片段。
“看这里。”李锐用鼠标指针圈出一行,“设备自检记录:‘DEVICE_ID: KST-007B,TYPE: LP-WT,FREQ: 2.4GHz,PWR: 10mW’。”
“LP-WT?”徐浩然皱眉,“低功耗无线发射器?”
“对。”李锐切换页面,调出另一个分析窗口,“再看这段——‘CONN_EST: 2023-05-02 14:23:17,DURATION: 8s,ENC: AES-256,TARGET: 103.XX.XX.XX: 443’。这是连接记录。五月二号下午两点二十三分,设备建立了持续八秒的加密连接,目标IP地址经过跳转,但追踪源指向……”
他停顿了一下,手指在键盘上敲击几秒,调出另一份文件——那是之前锁定新加坡信号源的技术报告。
两边的数据并列显示在屏幕上。
左侧是U盘日志中的加密协议特征值:AES-256-CBC,初始向量生成算法:HKDF-SHA256,数据包结构:自定义头部+16字节校验码。
右侧是新加坡信号源的分析报告:加密协议特征值:完全一致。初始向量生成算法:完全一致。数据包结构:完全一致。
“同源。”李锐的声音在安静的监控室里格外清晰,“调制方式、加密算法、通讯协议,全部同源。这个U盘发出的信号,和我们在新加坡监测到的‘收割者’信号,来自同一个技术团队,甚至可能是同一套设备系统。”
监控室里一片死寂。几秒钟后,徐浩然倒吸一口凉气:“所以那个U盘不是简单的数据窃取工具……它是一个潜伏的信号发射器?插上电脑后,它会间歇性向外发送加密信号?”
“而且发送的内容可能不止是电脑里的文件。”李锐调出另一段解析代码,“看这个——‘DATA_TYPE: SYS_INFO,HW_SN,OS_VER,NET_CONFIG’。它在收集系统信息、硬件序列号、操作系统版本、网络配置。这是典型的侦察行为。”
他站起身,走到白板前,拿起记号笔开始勾勒:“推测工作模式:U盘插入电脑后,伪装成普通存储设备,诱使系统自动运行。然后植入一个轻量级后门程序,这个程序有两个功能:第一,收集所在电脑及网络环境信息;第二,在特定时间或收到特定指令时,激活内置的低功耗无线模块,向外发送加密信号。”
“信号发给谁?”一个年轻技术员问。
“当然是‘收割者’。”李锐在“U盘”和“新加坡”之间画了一条线,“从五月二号第一次连接到现在,三周时间。如果按照每两到三天连接一次的频率,至少已经发送了七到十次数据。”
他放下记号笔,脸色凝重:“这意味着,‘收割者’对我们实验室的网络结构、设备分布、甚至安全防护措施,可能已经有了相当程度的了解。”
话音刚落,监控室的门被推开。秦风大步走进来,身后跟着两名行动队员。他显然是从看守所直接赶过来的,身上还带着室外阳光的热气。
“李锐,情况怎么样?”秦风直奔主题。
李锐简单汇报了发现。秦风听完,盯着白板上的示意图看了十几秒,然后说:“所以现在我们有了两个确定点:第一,‘收割者’在新加坡;第二,他通过技术手段在持续获取实验室情报。”
“还有一个不确定点。”李锐补充,“U盘发出的信号内容,我们只解析出系统信息部分。但有没有可能……它也传输了实验数据?”
这章没有结束,请点击下一页继续阅读!