四月二十三日凌晨三时,西山指挥中心负三层。
李锐站在弧形监控墙前,眼睛里布满血丝,但眼神锐利如鹰。他保持这个姿势已经六个小时,脚下烟灰缸里堆满烟蒂,空气净化器拼命工作也赶不上他吞吐烟雾的速度。
墙上是动态网络拓扑图,千万条光点组成的线条在黑暗中流动、汇聚、分离,像宇宙星云在虚拟空间里的投影。其中一条红色的攻击链路被高亮标注,从境外三个跳板服务器折返,最终消失在一片模糊的灰色区域。
“还是不行?”李锐没回头,声音沙哑。
身后操作台前,一个二十五六岁的年轻人摘下耳机,揉了揉太阳穴:“李处,第九层跳板在卢森堡,伪装成一家游戏公司的加速节点。我们追过去的时候,痕迹已经被抹了七次,最后指向……一片空白。”
年轻人叫章砚,清华网络安全专业博士毕业,去年才加入李锐团队,但天赋极高,对加密算法和流量伪装有近乎本能的直觉。他有个习惯动作——思考时用左手食指轻轻敲击键盘边框,节奏稳定得像节拍器。
“空白?”李锐转身,走到章砚的操作台前,“给我看日志。”
屏幕上是密密麻麻的十六进制代码,夹杂着英文字符和乱码。李锐俯身,鼠标在几行代码上快速滑动:“这里,时间戳的精度是微秒级。正常商业服务器不会记录到这个级别。”
章砚眼睛一亮:“军用标准?”
“情报机构标准。”李锐调出另一份文件,“三年前‘墨提斯后门’事件,攻击者留下的日志里,时间戳也是这个精度。而且你看这个字符编码习惯……”
他指着屏幕中间一行代码:“用Base64加密后再用凯撒密码位移3位,双重嵌套。这种冗余加密手法,和‘墨提斯后门’攻击链第三阶段的手法一模一样。”
“同一批人?”章砚呼吸急促起来。
“大概率。”李锐直起身,走到白板前。白板上贴满了打印出来的攻击日志、网络拓扑图、以及几十张便签纸。他用红笔在“墨提斯后门”和“629攻击”之间画了一条线。
“三年前,‘墨提斯后门’攻击了华夏七家军工单位的内部网络,窃取了某型导弹制导系统的部分设计图纸。”李锐边说边写,“攻击持续了四个月,我们追查到一半线索就断了,只抓到几个外围技术人员。真正的核心团队,代号‘雅典娜之瞳’,至今没有落网。”
章砚知道这个案子。那是网络安全界的悬案,也是李锐心里的一根刺。
“这次攻击的手法更隐蔽,但‘指纹’没变。”李锐在白板上写下几个关键词:加密嵌套习惯、跳板选择偏好、工具链版本号、攻击时间窗口。
“每个人写代码都有习惯,就像写字有笔迹。”他解释道,“有些人喜欢在函数开头加空行,有些人喜欢用特定变量名,有些人习惯在凌晨两点到四点活动——因为那是人体最疲劳、防守最松懈的时候。这些习惯组合起来,就是‘网络指纹’。”
章砚点头:“所以您这两周,一直在比对指纹。”
“对。”李锐调出一个比对软件界面,“我把‘墨提斯后门’的所有攻击样本,和629攻击的样本进行交叉比对。相似度达到87.6%,超出偶然范围。基本可以判定,是同一技术团队所为。”
“那源头……”
“源头不在卢森堡。”李锐回到监控墙前,手指点在那片灰色区域,“那只是个烟雾弹。真正的攻击源,在这里。”
灰色区域放大,显示出一个IP地址段,归属地是:台北市南港区。
章砚愣住了。
“怎么会是……”
“很意外?”李锐冷笑,“‘雅典娜之瞳’是跨国团队,成员来自多个地区。台北这个节点,可能是他们的一个安全屋,也可能是合作伙伴。但无论如何,这里是攻击链的起点之一。”
他调出该IP地址的历史活动记录:“过去三个月,这个服务器向全球十七个国家的四十二个目标发起过试探性攻击。目标包括华夏的企业、科研机构、政府网站。攻击手法都是低强度、长时间、多点渗透,典型的侦察行为。”
“他们在寻找漏洞。”章砚明白了。
“对。”李锐说,“629攻击只是其中一次大规模行动。我怀疑,他们在为更大的计划做准备。”
监控室的门被推开,一个三十岁左右的女人端着两杯咖啡走进来。她叫叶淮舟,团队的数据分析师,擅长从海量日志中发现规律。
“李处,你要的流量分析报告。”她把咖啡放在桌上,递过一份打印件,“我对比了台北服务器和其他可疑节点的通信模式,发现一个规律——每周三晚上十点到十二点,会有一个加密数据包发出,接收方在……新加坡。”
李锐接过报告快速浏览,眼神越来越亮:“这个时间窗口,和‘墨提斯后门’时期的指挥通信窗口完全吻合。接收方是哪里?”
“新加坡滨海湾金融中心,一家做跨境电商的小公司。”叶淮舟说,“但这家公司只有三名员工,年营业额不到百万新币。显然是个幌子。”
“真正的接收方在幕后。”李锐放下报告,看向监控墙上闪烁的光点,“章砚,你能反向植入吗?”
“植入监控程序?”章砚想了想,“技术上可以。台北那台服务器的防火墙是商用版本,漏洞我知道几个。但如果被对方发现……”
“那就不要被发现。”李锐说,“用‘幽灵镜像’技术,在内存里运行监控程序,不写入硬盘,断电即消失。每次通信时临时注入,抓取数据后自毁。”
“需要时间编写代码。”
“给你二十四小时。”李锐看了看手表,“明天这个时候,我要看到程序。”
“明白。”
章砚重新戴上耳机,双手在键盘上飞舞起来。叶淮舟也回到自己位置,开始筛选可能用于通信加密的算法。
李锐走到窗边,拉开厚重的遮光帘。窗外是西山沉睡的山影,远处京城的方向有零星灯火。凌晨四点的天空开始泛起鱼肚白,新的一天即将开始。
他拿出加密手机,拨通了林峰的号码。
---
上午八时三十分,通泰大厦。
林峰看着李锐发来的完整报告,手指在办公桌边缘轻轻敲击。报告很详细,从技术比对的细节到台北服务器的历史活动,再到“雅典娜之瞳”与“墨提斯后门”的关联分析。
最后是李锐的建议:“申请对台北服务器实施‘静默反制’,植入监控程序,放长线钓大鱼。”
“你怎么看?”林峰抬头,问站在对面的李锐。
李锐今天换了件干净的衬衫,但眼里的血丝没消:“林主任,这是个机会。‘雅典娜之瞳’三年来没露过马脚,这次因为攻击我们暴露了痕迹。如果现在打掉台北的节点,他们会警觉,然后消失得更深。不如反过来监控他们,摸清整个网络。”
“风险呢?”林峰问。
“两个风险。”李锐如实回答,“第一,我们的监控程序可能被对方发现,他们会立刻切断这条线。第二,在监控期间,他们可能继续发起攻击,造成实际损失。”
林峰沉默了几秒,从抽屉里拿出一份文件:“你看看这个。”
文件是国安部的情报简报,标题是《关于境外势力利用网络攻击窃取我战略科技情报的态势分析》。简报提到,近期针对华夏半导体、新能源、航空航天领域的网络攻击呈上升趋势,攻击手法专业化、团队化,背后疑似有国家行为体支持。
简报最后一页有手写的批注:“需建立主动防御体系,变被动应对为主动掌控。”
字迹遒劲有力,林峰认得,是某位高层领导的批示。
“领导的意思很明确。”林峰说,“我们不能总是被动挨打,要掌握主动权。李锐,你的方案我同意,但要加几个条件。”
“您说。”
“第一,监控程序必须有自毁机制,一旦被触发,要抹掉所有痕迹,不能留下把柄。第二,监控期间,你要建立预警机制,如果对方准备发起大规模攻击,我们要能提前拦截。第三……”林峰顿了顿,“这件事,仅限于你核心团队知道,不要扩大范围。”
李锐听懂了第三点的潜台词——内部可能有眼睛在盯着。
“明白。”他点头,“程序由章砚单独编写,叶淮舟做测试,不经过其他人手。通信链路用我们自己的加密通道,不走公共网络。”
“好。”林峰在报告上签了字,“去执行吧。另外,把‘雅典娜之瞳’的资料整理一份给我,我要知道他们过去都干了什么,未来可能想干什么。”
“是。”
李锐离开后,林峰走到窗前。四月的阳光很好,金融街上的行人步履匆匆。但在这平静的表象下,网络空间的暗战从未停止。
他想起了三年前“墨提斯后门”事件爆发时的情景。当时他还在东海,半夜被电话叫醒,说某研究所的服务器被入侵,导弹设计图纸可能泄露。他连夜协调国安、公安、保密部门,封存设备、排查人员,折腾了三个月,最后只抓到几个技术员。
真正的幕后黑手,像幽灵一样消失了。
现在看来,幽灵又回来了。而且这次,他们的目标更明确——华夏的战略科技产业。
手机震动,是杨学民发来的会议提醒:上午十点,参加“国家网络安全与信息化委员会”专题会议。
林峰看了眼日程,回复:“准时参加。”
他需要去那个会议,听听其他部委的情况,也了解一下高层的整体部署。
网络战从来不是孤立的战场。
---
上午十时,国家网信办会议室。
椭圆形的会议桌坐了二十多人,来自工信部、公安部、国安部、国防部、科技部等部委,以及几大电信运营商和网络安全企业的代表。主持会议的是网信办常务副主任祁谨,一个五十多岁、头发梳得一丝不苟的男人。
“各位,今天会议的主题是‘构建国家网络空间主动防御体系’。”祁谨开门见山,“近期针对我国关键信息基础设施的攻击事件频发,特别是能源、交通、金融、科技等领域。我们必须改变被动应对的局面。”
他调出一组数据:“今年一季度,监测到的网络攻击事件同比增长了42%,其中高级持续性威胁(APT)攻击占比达到18%,比去年同期翻了一番。这些攻击的目标明确,手法专业,背后有组织支撑。”
会议室里一片凝重。
工信部网络安全管理局局长发言:“我们监测到多起针对5G核心网和工业互联网平台的攻击,攻击者试图窃取网络架构数据和工业控制协议。有个案例很典型——攻击者利用某设备供应商的远程维护通道,渗透进一家钢铁企业的控制系统,差点造成高炉停产事故。”
“差点?”祁谨问。
“我们及时发现了异常流量,切断了连接。”局长说,“但攻击者已经拿到了部分控制权限。如果不是发现得早,后果不堪设想。”
公安部的代表接着说:“我们近期打掉了一个为境外黑客组织提供‘洗洞’服务的团伙。他们专门帮攻击者清理痕迹,把境外IP伪装成国内IP,逃避追踪。这个团伙供认,过去两年经手了上百起攻击事件,客户包括多个境外情报机构。”
林峰静静听着,没有插话。这些情况他都知道,甚至有些案例他直接参与过处置。
轮到他发言时,他言简意赅:“我补充两点。第一,网络攻击与经济战、科技战正在融合。我们最近审计战略产业基金时发现,有些境外资本通过投资渗透,获取企业网络访问权限,为后续攻击创造条件。第二,攻击者的战术在升级,从单纯的窃密转向破坏,目标不仅是数据,更是生产系统和供应链。”
祁谨认真记录,然后问:“林主任有什么建议?”
“建议有三条。”林峰说,“第一,建立跨部委的网络攻击预警和协同处置机制,特别是涉及关键基础设施的,要能快速响应。第二,加强对境外投资的技术安全审查,不能只看资金背景,还要看技术风险。第三,要培养自己的‘红队’,模拟攻击,查找漏洞,不能等敌人来攻。”
“红队建设已经在推进。”祁谨说,“国防科大、清华、北航都在培养相关人才。但人才缺口还是很大,特别是既懂技术又懂业务、还能理解战略意图的复合型人才。”
“可以从实战中培养。”林峰说,“让年轻人在真实对抗中成长,比单纯上课管用。”