佩恩召集各分队负责人开了一次会,议程紧凑:第一,从下周开始,所有新加入的GtI人员必须经过背景审查和训练考核,不合格的予以劝退,或者直接开除。
第二,已经发生的违规行为,按照证据和法律流程查明的,会按规定严肃处理。
第三,今后任何涉及平民安全、财产和基本权利的行动,都需要提前报备并获得批准才能执行,不得私自行动。
会议记录的报告中,佩恩也详细列举了他观察到的问题,也写了一些他对GtI未来走向的判断,包括部分人员存在纪律松散、行为失范、物资管理混乱等现象,建议尽快采取整顿和筛选措施,并考虑从更稳定的渠道补充更可靠的人员来参与未来的轮换。
兰德尔在华盛顿收到了这份报告,几天后,莫妮卡也看到了其中的摘要。
“你打算怎么回应?”
“我需要一份正式的文件,以国会的名义向联合国安理会发出呼吁”,兰德尔已经开始着手准备,“内容是邀请常任理事国和非常任理事国共同参与GtI的后续行动,由各国派遣正规武装部队成员加入GtI,逐步替换现有一线人员。这样既可以提升GtI的作战效能,也有助于约束部队在行动中可能出现的越界行为,使其更接近一支具备基本纪律框架的军事组织,更能凸显其作为‘联合国家’代表组织的作用。”
“安理会的流程会走得很慢,而且他们真的会愿意花时间在这种小事上吗。”
“可以绕过安理会,直接从双边渠道出发,联系几个关键国家——这要拜托你了。如果先拿到几份意向书,再去推动联合国的正式决议,阻力会小一些。”
莫妮卡沉默了一会儿,报告上面的字迹是打印体,没有签名,页脚有一行日期,早于安理会上次会议,大概是佩恩在行动初期完成后的几天写的。
“我认识几个在安理会代表团工作的人,如果你能把这份报告的语言改得更中性一些,我可以帮你转交给他们。我不保证他们会采纳,但至少他们会认真了解情况。”
佩恩在阿萨拉又待了四周,花了一些时间与营区内的各个部队单独见面,每次只邀请同一个单位的人员参与,人数不超过十人,地点选在帐篷或空闲库房内,没有录音设备,只有一把椅子和一个笔记本,他时不时会在纸上记几个字。
来参加讨论的人起初不太说话,后来逐渐有人开口,语气也从最初的回避和推脱,慢慢变成更直接的陈述。
佩恩没有打断他们,也没有提出反驳,只是安静地听着,偶尔问一两个问题,然后在笔记本上记下要点。
到了第四周,他陆续批准了对七名人员的劝退处理,并将另外两人的处置权限上报给阿尔及尔协调小组进行进一步审议。
与此同时,一份经佩恩修订的GtI人员招募标准也正式下发到各分队驻地,要求在六十天内完成对现有人员的重新登记和考核分类。
在兰德尔这边的推动下,一些外交接触也开始有了初步进展。
首先是英国,然后法国,之后是加拿大和希腊,他们表示愿意考虑以观察员身份参与GtI的后续活动。
随后,巴基斯坦和澳大利亚也表现出一定兴趣。到了次年春天,安理会的一次非正式磋商中,多国代表提到了GtI在阿萨拉的行动现状,并表达了希望在未来几个月内进一步落实合作框架的意向,包括建立统一的指挥协调机制和轮换制度,以及逐步增加由各国正规军轮换派出的一线行动人员。
在阿萨拉,佩恩站在地图前,用镊子把一枚黄色图钉拔下来,换成了一枚蓝色的。
拔下来的钉子被他放在桌面上的一个小铁盒里,铁盒底部已经铺了一层……
代号“黑穗”的黑客集团第一次进入露娜的视野,是2031年秋天。
当时她坐在办公室靠窗的位置,屏幕上开着七个分析窗口,日志文件的时间戳横跨四个月,每条记录的长度超过六十个字符,堆叠在一起像一面密不透风的墙。
隔壁组的李准尉敲了两下隔板,递过来一个平板,上面显示着首尔地方警察厅转交过来的加密邮件——有一家位于釜山的半导体材料公司被勒索软件攻击,对方索要比特币的数额约十二亿,系统全盘加密,备份也被删除了。攻击发生的时间是凌晨三点,攻击者在系统内停留了四十七分钟,这个滞留时长在以往的案例中属于中等水平,没有特别的痕迹留下来。
露娜把邮件从头到尾看了一遍,随手打开附属的日志文件,注意到几处时间戳的间隔比正常情况短了大约二百毫秒,像是用某种自动化工具辅助操作留下的特征。
她把几处时间戳圈出来,连同攻击入口的Ip段一起,放到内部系统的比对模块里跑了一遍,没有匹配到任何已知的攻击模式,只能把这几个异常单独存了一个文件夹。
接下来的两周里,类似的事件又发生了三次,每次的攻击手法略有不同,但露娜留意到那二百毫秒的异常间隔反复出现,像同一个人的签名。
她把这四次攻击的数据集中起来,发现它们指向同一个方向——所有被攻击的企业,其供应链都涉及军工或核电相关部件的二级供应商。
这个发现让她多花了两天时间梳理它们之间的关系,建立起一个供应商关联网络,网络的中心点指向一家同时为韩华和斗山提供特种合金材料的中型企业。
该企业本身并没有被攻击,但它位于关系网络的枢纽位置,像一把锁,周围四把钥匙都在转动,只有这把锁还没有被碰过。
她把报告初稿写好后,夹在标着“待复核”的文件夹里,准备提交。
十月中旬,第五次攻击发生。
这次的目标是一家直接参与国防部雷达系统配件生产的公司,攻击者加密了研发部门的服务器,索要金额升至四十二亿。
国防科学研究所介入后,事件被自动升级为国家级危机——
按现行规定,凡涉及核电、半导体军工及国家核心基础设施的网络攻击,无论金额大小,一律由安保司令部依职权接手。
露娜作为军事安保支援司令部的网络分析代表,与NIS(韩国国家情报院)、首尔地方警察厅和mSIt(韩国科学技术信息通信部 )的同行一同被召入联合调查组。
在联合调查组的第一次会议上,NIS的代表——一个头发已经半白的分析官——用激光笔指着投影幕布上的攻击时间线,强调这些攻击不是孤立的,而有某种系统性特征。
他说到二百毫秒的规律时,露娜注意到他没有提到攻击入口的Ip段之间的关联性,Ip段分布在不同国家的托管商名下,但注册邮箱的域名后缀存在高度的一致性。
等分析官讲完,她打开自己的笔记本电脑,把那几组关联域名投到幕布上,用激光笔圈出它们的共同点——所有注册邮箱后缀的域名注册时间集中在同一周,注册人的姓名虽然各不相同,但中间名的缩写都是同一个字母。
缩写对应的名字在公开信息中检索不到关联,但在暗网论坛的某些加密帖子里出现过,与一个代号“黑穗”的组织有关联。
会议桌旁的人都转过头来看投影幕布上的几行信息。NIS的分析官重新坐了回去,警察厅的代表拿起笔,在会议记录本上奋笔疾书。mSIt的人侧过身跟旁边的同事低声说了几句,面面相觑。
露娜把剩下的信息讲完,大约用了八分钟,投影仪的散热风扇在头顶嗡嗡地响。
会后,调查组组长把她单独留下,问她这些数据是从哪里找的。
她坦诚相告,日志都是公开的,域名注册信息也是可以直接查询的。
组长没再追问,只说了一句“你的分析方向,可以继续走”,就挥手让她出去了。
接下来的三周,露娜把所有与“黑穗”相关的攻击事件整理成矩阵,横轴是攻击时间,纵轴是攻击手法和目标类型。
她在矩阵的右上角留了一块空白,应该出现尚未发生的下一次攻击。
根据前五次攻击的间隔周期推算,下一次攻击大约会在十一月中旬出现,攻击目标可能是对九家以上供应商有所依赖的核心集成商,这类公司在首尔近郊的工业区分布较为集中,网络架构大多是十年前建成的旧系统,升级的间隔期偏长,漏洞也更密集。
她跟组长提出搭建虚拟诱饵服务器的方案,内容包含五个部分:服务器配置、诱饵数据的构成、攻击行为的监听方式、日志的实时备份、以及反追踪触发条件。
组长花了四十分钟看完十九页的方案书,期间没有抬头,翻页的节奏均匀,像在读一份不需要额外斟酌的报告。
诱饵服务器的搭建花了六天,露娜负责配置其中的诱饵数据部分,把真实的采购订单和物流信息做了脱敏处理后放进去,使数据看起来像是某个大型集成商的内部文件,目录结构模仿了韩国国防工业常用的编号规则,延用至三个字符的缩写段位。
服务器上线后的第二天,日志里出现了第一次试探性扫描。扫描来自一个位于东欧的跳板节点,扫描的深度刚好停在诱饵文件的第一层目录前,没有进入更深的层级。
她把痕迹记录下来,没有采取任何动作,欲擒故纵。
试探持续了四天,每次的时间都不长,最短的一次只有三分钟,最长的一次不到十二分钟。
到第五天,攻击者进入了第二层目录,读取了一个名为“采购清单_四季度”的文件。这个文件是露娜专门设计的,里面包含一组虚构但符合行业惯例的采购条目,条目中嵌入了一个能够触发反向追踪的数据包,像一枚埋在文档里的地雷,只有在远程打开时才会触发引信,留下的痕迹非常浅,浅到大多数防火墙会把它当作普通的连接丢失,不会发出警报。
第十天凌晨两点四十七分,攻击者进入了第三层目录。露娜在地下室的监控室里值班,屏幕上显示诱饵服务器正在被访问,数据流以恒定的速率向外传输。
她设置了日志分秒备份,数据包的分发路径清晰地记录在上——从东欧节点到东南亚托管商,再到一个位于亚洲某国境内的物理地址,该地址对应的注册信息在公网数据库中查不到,但根据路由节点之间的延迟差推算,它的实际位置不可能超出某座城市的范围,城市的名字在露娜的脑海里形成了初步的轮廓。
她把数据写入备份盘里再对照了三次,等所有数据都确认无误,才在值班日志上写下地名。
攻击者没有意识到自己已经暴露,仍在诱饵系统内停留了大约二十分钟,期间遍历了六个目录并下载了三个文件。
露娜没有切断连接,她需要观察对方在获取数据后会如何行动。
攻击者在下载结束后立刻断开连接并清除了部分访问日志,但日志的备份早已被自动系统实时复制到离线存储中,即使他把原始记录全删了也没用,因为露娜在搭建服务器的第二天就已经关闭了覆盖功能,只允许追加,不允许修改。
天亮之前,她写完了初步追踪报告。报告结论很简短:攻击路径上的物理节点位置经多次校验,无法被一般跳板完全掩盖;其出口网关的地理范围收敛于同一座城市,而这座城市恰好是哈夫克集团在亚洲部署数据中心的主要节点所在城市之一,二者在路由层共享至少三个共同的自治系统编号。
为了避免不必要的麻烦,她没有在报告中直接点名哈夫克,只写了自治系统编号和可能的运营商特征。
报告提交后,上级的反馈比她预想的快了三天,由崔中校口头转达——组长在电话里只说了几个字,措辞简短,语气平静——“先把诱饵服务器撤了”。
她没有接到任何正式书面指令,也没有人告诉她接下来该怎么做,就这么等了三天。
这三天里,她尝试通过内部系统的数据库回溯那个物理地址的更多信息,但访问请求被系统自动拒绝了两次——
第一次是权限不足,第二次是查询被标记为“低优先级”,排在了队列末尾。
她本来打算换个入口再试一次,结果还没动手,就接到了组长办公室的直接召唤:
“金中尉,来办公室一趟。”