一晚上时间匆匆过去,李弱水、叶天、李田,还有林凡四人组成的技术分析小组的进展缓慢。
对手显然是个高手,后门程序几乎与系统底层代码融为一体,常规的扫描和逆向分析如同大海捞针,林凡和李弱水甚至动用了一些非常规检测脚本,都收效甚微。
“对方非常了解我们的排查思路,”李弱水向林凡汇报时,语气中少见得带着一丝凝重,“后门采用了动态加载和内存执行技术,不留下实体文件,通信也伪装成正常的系统心跳包,很难捕捉。”
压力不仅来自技术层面。
第二天一早,各种无形的压力便开始从四面八方涌来。
先是省政府办公厅一位副秘书长给陈江山打来电话,语气客气地“询问”平台恢复的大致时间,并提到一些重要会议的文件流转受到了影响。
接着,几个与省政府办公厅业务往来密切的厅局也都或直接或通过私人关系,向网安局了解情况。
与此同时,一些关于网安局“新部门立功心切”、“业务不熟导致误判”、“影响全省政务效率”的闲言碎语,在省委省政府两个大院里悄悄传播。
这里小部分是确实是因为交换平台被封,耽误了工作而不满,但大部分是看到网安局风头太盛,找到机会就想“痛打落水狗”,针对的对象无外乎集中在陈江山和林凡身上。
“凡哥,他们这是要把我们架在火上烤啊!”李田又接了个“咨询”电话后,愤愤不平,黑眼圈里都写满了委屈和愤怒,“他们根本不知道情况的严重性!就知道催催催!”
周薇也有些忧心忡忡:“林处,如果今天还不能查清楚,就算事情解决了,网安局的名声也要受影响。”
“妈的!这王八蛋藏得也太深了!”
李田猛地一拍桌子,从昨天开始,他的神经就一直紧绷着,作为第一个发现并果断处置警报的人,他承受的压力最大,也最不甘心。
“难道我们就拿这龟孙子没办法了?就眼睁睁看着他在我们眼皮子底下做手脚,我们还背个办事不力的黑锅?”
林凡走过去,按住李田的肩膀,沉声道:“田哥,冷静。越是这样时候,越要沉住气。对手很狡猾,但我们一定有疏忽的地方。再想想,任何细微的异常,都可能是指向真相的钥匙。”
李田烦躁地抓了抓头发,一屁股坐回椅子上,目光无意识地扫过自己那台负责日常巡检和日志记录的电脑。
屏幕上,各种系统监控窗口和日志分析工具层层叠叠。他叹了口气,几乎是机械性地开始重新翻阅那些已经被他看了无数遍的、枯燥的系统访问日志、权限变更记录。
这些基础工作他做得最多,也最熟悉,虽然看似没有技术攻坚那么“高端”,但往往是发现线索的第一步。
时间一分一秒地过去,办公室内只剩下键盘敲击和偶尔的叹息声。僵局,依旧是无法打破的僵局。
就在李田看得眼睛发花,准备起来活动一下的时候,他的目光无意中扫过一条看似普通的系统维护日志记录。
记录显示,大约在两个月前,机要信息交换平台进行过一次例行的安全组件升级,升级包由系统供应商提供,经由办公厅秘书处审核后部署。
这条记录本身毫无问题,类似的升级每隔一段时间都会进行。但李田的视线在“审核人”那一栏停顿了一下——屈小军。
一个办公厅秘书三处的处长,亲自审核一个技术组件的升级包?按照常理,这种技术性审核通常会由处内的技术人员或副手完成,处长更多是程序性审批。
“凡哥!弱水!你们来看这个!”
李田的声音带着一丝不易察觉的颤抖和兴奋。
林凡和李弱水立刻围拢过来。
“看这条升级记录,审核人是屈小军。”
李田指着屏幕,“我看之前的记录,办公厅平时这类升级包的初审都是他们处里的副处长或者技术骨干做的。”
林凡脑中闪过屈小军通情达理到心虚的笑:“你的意思是,这次升级,屈小军亲自介入,不合常理?”
“对!而且你们看升级的时间点,”
李田调出了更详细的日志,“是在一个周末的晚上,非工作时间。虽然政务系统升级有时会安排在非高峰时段,但结合屈处长亲自审核这一点,就有点耐人寻味了。”
“调出那次升级的具体操作日志,尤其是升级过程中的进程调用和文件修改记录。”
李田调出了相关的底层日志。这些日志极其庞杂,记录了系统每一个细微的操作。
在李弱水的指导下,他们开始聚焦于升级窗口期内的所有异常进程和文件访问。
突然,李田的眼睛瞪大了!
“找到了!你们看这里!”他几乎要跳起来,指着屏幕上几行被高亮显示的日志,“这里绕过了系统的安全审计模块,对平台核心通信库写入了几段加密的机器码!然后这个进程就自我删除了,痕迹清理得非常干净!”
李弱水接管了李田的操作,“加密方式很独特,不是常见的商业加密算法,带有明显的定制特征……”
“这段注入代码激活后,平台的网络通信行为有没有发生变化?”林凡赶紧追问。
李弱水调出网络流量监控历史数据,进行比对。
“有!虽然变化极其微小,但在那个时间点之后,平台向外发送的‘心跳包’数据量平均增加了,之前我们一直认为是正常的网络波动。”
所有的线索,似乎都隐隐指向了那次由屈小军亲自审核的“例行升级”。
“难道……屈小军是内鬼?”
李田倒吸一口凉气,脸上写满了难以置信。
“他一个办公厅的处长,为什么要这么做?”
林凡的脸色变得无比严肃。如果内鬼真的是屈小军,那问题就严重了。
他身处机要信息管理的核心岗位,能够接触大量敏感信息,利用职务之便植入后门,其危害性远超普通黑客攻击。这不再是一起简单的网络安全事件,而是一起危及国家安全的内部人员泄密案。
“动机现在还不好说,”林凡沉声道,“但目前的证据链,已经足够将他列为嫌疑对象。田哥,这次你立大功了!”
李田挠了挠头,有些不好意思。“我就是……就是觉得有点不对劲,多看了一眼。”
林凡立刻拿起电话,拨通了陈江山的号码。
“局长,有重大进展。我们分析,不是外部黑客攻击,而是内部植入后门。嫌疑目标……可能指向省政府办公厅的屈小军处长。”
电话那头,陈江山沉默了片刻,再开口时,声音带着前所未有的凝重:“证据确凿吗?”
“目前是间接证据和异常行为指向,需要进一步侦查和固定证据。”
“我明白了。”陈江山当机立断。
“这件事已超出网安局常规职权范围。你带上所有材料,立刻向我汇报。同时,我会紧急联系国安和纪委的同志。记住,在采取正式行动前,绝对保密!”