拿下秦风的口供,是案件的重大突破,但专案组并未松懈。要最终定案,尤其是要将神秘的“卡尔·米勒”绳之以法,更需要扎实的、无可辩驳的电子证据和物证。这方面,依然是陈凯主导的技术团队的主战场。
陈凯和他的队员们几乎住在了实验室和数据中心。他们的目标是将“卡尔·米勒”的数字身份与其物理身份进行关联,形成完整的证据闭环。
一方面,他们继续深化对那两家受害企业被入侵时的网络流量分析。虽然之前已经定位到了海外的数据接收服务器和那个共同的荷兰dNS服务器,但陈凯相信,对手如此狡猾,一定还有更深层次的隐藏痕迹。
他们对海量的网络日志进行了二次甚至三次的深度清洗和挖掘,运用了更先进的算法模型来识别异常模式。
“野哥,有重大发现!”陈凯的声音带着熬夜后的沙哑,却难掩兴奋,“我们重新分析了‘微瞳科技’防火墙在案发当晚的一段异常告警日志,当时认为是一次失败的端口扫描而被忽略。但现在我们发现,这次扫描的源Ip地址,虽然也是伪造的,但其扫描的手法、选择的端口序列、甚至数据包的时间间隔,与三年前国安部门通报过的一起针对军工科研所的网络攻击事件中使用的工具特征,高度相似!”
这个发现非同小可!这意味着,攻击者使用的很可能是某个具有国家背景或极高专业水平的黑客组织开发的专用工具,而非普通的商业间谍软件。
“能关联到具体组织吗?”
“很难,国安的通告也很模糊,只说是某个‘Apt’(高级持续性威胁)组织所为。但这大大提升了对手的层次和危险性。”陈凯面色凝重。
另一方面,技术团队加强了对刘伟和张岚电子设备的取证分析。虽然他们 likely 是被害者,但他们的电脑、手机无疑是“卡尔·米勒”重点攻击的目标。
取证专家对两人的设备进行了磁盘底层扇区的深度恢复,不放过任何已删除文件的残留数据。
功夫不负有心人!在张岚的一台已经淘汰的旧笔记本电脑的硬盘空闲簇中,恢复出了一小段被删除的聊天记录片段!虽然内容残缺不全,且经过了加密,但通过技术手段部分解密后,出现了关键信息:
[…协议…尾款…瑞士…UbS…账户…]
[…数据验证后…支付…]
[…“K..”…]
“K..”!这极有可能就是“卡尔·米勒”(Karl uller)的缩写!