“我们需要立刻成立多部门联合狩猎小组,主动出击。所有要害系统进最高防护状态,没补的漏洞先上临时加固。我建议,现在启动《奥运网络安全特别应急响应预案》一级响应。”
“一级响应……”作为安全监管组的组长方向沉吟道,“那等于战时状态,资源无条件调配,这授权,得赵副总理亲自批。”
“我会向领导小组请示。”林凡说,“但在此之前,我提议:联合狩猎小组,现在就开始干活。时间不等人。”
视频会开了二十分钟。
最终,在现场拿出厚厚一摞威胁评估报告和实时数据后,所有单位原则上同意先动起来。
凌晨六点,天光已亮。
联合狩猎小组正式成立。组长林凡,核心团队十八人——楚峰的六人组,加上公安、国安、总参的十二把好手。
“我知道,你们来自不同地方,有不同的习惯。”林凡说,“但现在,咱们只有一个身份:国家网络安全的守门人。奥运是国家的脸,不能让人在这时候扇巴掌。”
“明白!”十八人齐声。
“夜莺”坐在三号工作站前,屏幕上是条异常流量记录,一张伪装成体育新闻图片的恶意载体,在试图渗透官网集群时被拦下了。
图片看着很正常:鸟巢夜景,分辨率高,文件大小合理。
“图片藏了代码。”“夜莺“低声说,手指在键盘上飞舞,“攻击者想通过的图片缓存,把恶意脚本塞进用户浏览器,再利用浏览器漏洞提权,摸进官网后台。”
“能解开吗?”林凡走到她身后。
“需要时间……但更重要的是,我想知道这图片从哪儿来的。”“夜莺”调出流量日志,“表面上是从拉脱亚伟一个新闻图片库下载的,但那服务器本身也是跳板。真正的源头……”
她开始逆向追踪。一层,两层,三层……每追一层,攻击者就换一个马甲,有的马甲只用几分钟就销毁。
“手法老练。”楚峰在一旁评价,“每个跳板都是临时租的云服务器,用完就扔。追踪成本太高。”
“但他们犯了个错。”“夜莺”突然抬头,眼睛盯着屏幕上一个细节,“这个格鲁亚基的图片库服务器,用的SSL证书……签发机构是个小cA,去年被曝签发过大量假证书给钓鱼网站。”
她调出那个cA的证书透明度日志,快速搜索。
“找到了……这cA过去三个月,签了十七个证书给不同的图片库网站,但这些网站的Ip,最终都指向同一个地方——东欧一个数据中心。”
“锁定这个数据中心。”林凡下令,“‘夜莺’,继续挖图片里的代码特征。‘冰河’、‘蝎子’,你们配合,试着对这个数据中心反向侦查,别惊动他们。”
“林组长,你看这个。”“扳手”调出一段代码分析报告,“我从恶意图片里解出的脚本片段里,发现了一段很特殊的漏洞利用代码。它针对的漏洞,是咱们演练第五天晚上才发现的一个边缘系统文件上传漏洞。这漏洞的细节,咱们只在内部复盘会上讨论过,从没对外说过。”
林凡接过报告,眉头拧成了疙瘩。
“你确定?”
“确定。”“扳手”指着代码里的几个特征值,“这漏洞的触发条件很刁钻,得精确控制上传文件的类型、大小、文件名编码。如果不是亲眼看过咱们的演练记录,攻击者很难造出这么精准的攻击代码。”
房间里静得能听见呼吸声。这意味着什么,所有人都明白。
如果说,之前有内鬼只是一种猜测,那这个发现无疑就是确凿的证据。
就在这时,赵小平匆匆进来。
“林组长,领导小组批了。”他递过文件,“赵副总理亲自签的:同意启动一级响应。授权联合狩猎小组,在领导小组监督下,采取一切必要措施。但有一条——”
他顿了顿,看向林凡:“所有可能引发外交纠纷或大规模网络冲突的反制行动,必须提前报批。”
……
大屏幕切成四块:
左上角是实时威胁态势,红色光点的闪烁频率比凌晨时缓了些,但分布更集中,攻击者好像结束了广撒网,开始盯着最有肉的几个目标咬;
右上角是“夜莺”追的那条东欧跳板链拓扑图,二十多个节点像蜘蛛网般张开;
左下角是内部排查简报,十几个名字后面标着“待查”“在查”“已排除”;
右下角是各要害系统的防护状态,一片刺眼的橙红。
“攻击节奏变了。”楚峰指着态势图,“凌晨是高频率扫描,现在变成了高精度的试探。他们在验证哪些漏洞真能用,哪些已经被咱们补上了。”
“这是动手前的最后确认。”林凡说,“一旦他们验证完,总攻就来了。李处,各系统的临时加固到位了吗?