“卧槽!这他妈是恐怖袭击吧!”张扬看着冒烟的主机和熄灭的网络设备,又惊又怒。
苏清雪则迅速反应过来,立刻拿出自己的手机,切断了工作室的Wi-Fi连接,切换成蜂窝数据。“对方能发动这种攻击,我们的内网可能已经不安全了。林默,你的电脑……”
“废了。硬盘可能也物理损坏,数据未必能恢复。”林默看着那台陪他战斗了数月的电脑,眼神冰冷。里面有不少未备份的调查资料和敏感信息,虽然核心资料有多重加密和云备份,但损失依然惨重。
更重要的是,对方展现出的攻击能力和果决狠辣,远超寻常黑客。这不是简单的DDoS,这是精准的、带物理破坏性的定点清除。意味着对方不仅技术高超,而且掌握着某些非常规的攻击资源,甚至可能……有内应或提前布置?
“他们是怎么做到的?通过网络烧硬件?”张扬还是觉得难以置信。
“理论上有可能,利用某些未公开的硬件漏洞、特定的恶意固件,或者结合电源管理芯片的缺陷,发送特定指令导致电流过载。”林默快速分析,高级黑客知识让他明白这并非天方夜谭,“关键是,他们定位到我的主机,并且有足够权限和手段发动这种攻击,说明我们的网络防护在他们面前有漏洞,或者……他们早就在我们的设备里留了后门。”
“后门?我们不是定期检查吗?”苏清雪蹙眉。
“如果是硬件级别、或者固件级别的后门,常规检查很难发现。”林默摇头,目光扫过工作室里其他电脑,“通知所有人,立刻关闭所有联网设备,拔掉网线电源。沈冰,陈诺,你们负责检查所有设备的基本安全。张扬,你去买几台全新的、未拆封的笔记本电脑和移动网络设备回来,要快。清雪,你立刻联系陈队,把这里的情况告诉他,请求警方技术部门支援,另外,看看能不能协调到临时的、绝对安全的办公地点和网络。”
指令清晰,团队立刻行动起来。虽然刚刚经历一场无声的、却极具破坏力的网络袭击,但几个月的磨合让“明镜”的成员迅速进入应急状态。
林默自己则走到窗边,看着楼下街道。攻击刚刚发生,对方可能还在监控,或者等待着下一步动作。他需要反击,至少要知道攻击来自哪里,是谁。
硬件攻击难以直接追溯,但网络层面的入侵轨迹,或许还有迹可循——前提是对方没有完全抹除。
他拿出那部苏清雪给他准备的、平时几乎不用的备用手机(与工作室网络完全隔离),开机。然后,他启动了自己编写的一个、存储在手机加密芯片里的应急追踪程序。这个程序能通过特殊的协议,尝试连接和唤醒工作室网络里可能隐藏的、他之前偷偷布下的几个“暗桩”探针。
这些探针被他物理植入在工作室网络交换机和路由器等关键节点的隐蔽位置,独立供电,平时完全静默,只记录最底层的网络流量元数据(不涉及内容),并且采用了特殊的加密和跳频技术,极难被发现。是他利用高级黑客知识和手头工具能做出的最高级别防护后手。
手机屏幕上,绿色的进度条开始缓慢读取。由于主网络被毁,探针只能通过极低功耗的备用无线信道回传数据,速度很慢。
几分钟后,一份简略但关键的流量分析报告呈现在手机屏幕上。
报告显示,在攻击发生前大约三十秒,工作室网络接收到了一批来自多个境外IP(经跳转)的异常数据包。这些数据包伪装成正常的网络更新请求,但载荷里包含了针对特定品牌主板和电源管理芯片的恶意指令。攻击的最终源头IP经过至少七次跳转,最后消失在公海区域的某个卫星通信节点,无法继续追踪。
典型的专业黑客手法,干净利落,不留尾巴。
但林默注意到一个细节:在攻击发动前大约五分钟,网络里有一个极其短暂、几乎可以忽略不计的、指向某个境内IP的DNS解析请求。这个请求查询的域名非常奇怪,像是一串随机字符,并非“明镜”任何设备或人员会访问的地址。
这个DNS请求,像是攻击前的最后确认,或者某种“信号”。
那个境内IP,虽然也做了伪装,但跳转层数较少。林默的应急程序抓住了这个稍纵即逝的线索,结合他之前调查“渡鸦”时收集的碎片信息,进行了快速关联分析。
分析结果指向一个地方——东南亚某国,一个以网络灰色产业和宽松管制闻名的城市。
和林默之前用“真相之眼”感应到的坐标,以及陈婆提到的、与“渡鸦”可能有牵连的区域,隐隐吻合。
是“仲裁庭”的某个服务器基地?还是“渡鸦”的藏身处?
林默眼神一凝。这是一个机会。对方刚刚发动了攻击,可能正处于一种“得手后”的短暂松懈,或者正在处理攻击反馈信息。这时候反向追踪,虽然危险,但也可能出其不意。
他立刻在手机程序里输入一串复杂的指令。这是一个他之前就准备好、但从未使用过的攻击性脚本——不追求破坏,只追求隐蔽潜入和短暂驻留,目标是尝试获取那个可疑IP背后的服务器基础信息(如操作系统版本、开放端口、运行的某种服务标识),哪怕只是一点点。
脚本通过备用手机的网络(已用多层代理伪装),小心翼翼地向那个东南亚IP发起了探测。探测包被设计成像是普通的网络爬虫误触,尽量减少被识别的风险。
一秒,两秒,三秒……
没有回应。对方服务器似乎完全屏蔽了无关请求。
就在林默准备放弃时,脚本反馈:捕捉到了一个极其微弱的、非标准的协议响应。对方服务器在某个非常用端口,运行着一个罕见的、常用于高性能计算和加密通信的定制服务。
而且,服务的标识字符串里,包含了一个模糊的单词缩写:“……ARB…”。(仲裁?Arbitration?)
就是这里!“暗网仲裁庭”的某个节点!
林默心跳加速。他立刻让脚本尝试发送一个伪装成“仲裁庭”内部某种心跳包或状态报告的数据包,看看能否骗过对方的初步验证,获取多一点信息。
这步风险极高,一旦被识破,对方会立刻锁定这个攻击源(他的备用手机网络)。
数据包发出。
漫长的几秒等待(仿佛几个世纪)。
回复来了!竟然是一个简短的、类似“状态正常”的确认码!对方的自动验证机制似乎被短暂骗过了!