();
周维的手指在键盘上悬停了半秒,没有敲下回车。屏幕上的虚拟机窗口突然灰暗,提示进程已被强制终止。他立刻调出系统底层日志,一条红色警告条目跳了出来:“自毁协议触发,内存镜像锁定。”
“指令包带毒。”他抬头看向郑宇轩,“它不是来拿数据的,是来测试我们有没有能力拆解。”
郑宇轩站在操作台旁,钢笔在指间缓缓转动。他没说话,目光落在主控屏上那条刚刚消失的连接轨迹。诱饵系统记录到的指令只存活了0.4秒,却在被隔离前完成了三次内存跳转,几乎擦着沙箱边界完成了自毁。
“但它留下了痕迹。”赵亮从另一台终端转过身,手里捏着一张刚打印出的日志片段,“行为捕获层抓到了执行瞬间的堆栈快照,虽然不完整,但有个地址反复出现——一个未注册的公钥签名。”
周维立刻接入内部安全数据库,将签名哈希提交比对。三十秒后,系统返回一个标记为“已注销”的开发者账户:陈默,前“天序生物信息”公司高级运维工程师,专攻基因数据加密传输架构。账户因三年前一场重大数据泄露事故被永久封禁,本人登记信息显示已注销全部国内执业资格。
“事故责任认定书说他是操作失误。”赵亮翻出档案,“但内部评审记录提到,他曾在日志里留下一段无法解释的加密脚本,指向一个未备案的外传通道。”
郑宇轩把钢笔放在桌角,靠近白板边缘。他盯着那个名字,声音低沉:“一个被行业除名的人,为什么还能操控现在的攻击链?”
“因为他没离开。”赵亮调出交通卡系统后台,“陈默名下有一张本市通用交通卡,过去一周在科技园区南门闸机刷过三次。时间分别是周二早七点十二分,周四晚九点四十五,还有昨天凌晨一点零七。”
“凌晨一点?”林悦站在存储柜前,手里拿着一份刚调出的生物样本报告,“我们上周在园区外围三个**回收点做过环境采样。其中B3点位提取到一份未登记的唾液样本,DNA初筛未匹配任何在案人员。但我把它和卫健委早期备案的从业人员体检库做了交叉比对——匹配度最高的,就是陈默。”
她把报告递过来。郑宇轩扫了一眼,目光停在比对图谱上。两组STR标记在十七个位点高度重合,仅在DYS391位存在单碱基偏差,属于个体衰老导致的自然变异范畴。
“他还活着,也在本地。”赵亮接话,“而且最近频繁进出科技园区。”
“不是频繁。”周维突然开口,“是精准。三次刷卡时间,分别对应新生儿基因数据入库后的第18分钟、第22分钟和第19分钟。误差不超过三分钟。”
郑宇轩眼神一沉。这和之前黑客调取数据的时间窗口完全吻合。
“他在等数据入库。”他说,“然后第一时间进入系统。”
“可他的设备呢?”林悦问,“没有注册终端,没有公网IP,所有操作都通过跳板完成。我们连他用什么设备接入都不知道。”
周维没回答,而是重新打开诱饵系统的DNS监控日志。他在一堆正常请求中拉出一条异常记录:一个伪装成字体更新请求的隐蔽信道,指向一个动态域名。域名解析出的IP位于境外,但TTL值仅有四跳,远低于正常国际链路的平均十六跳以上。
“这不是直连。”他低声说,“是反向隧道。对方用国内某台中间服务器做代理,故意缩短跳数,让流量看起来像是本地发起。”
他顺藤摸瓜,反查该域名的历史注册信息。邮箱地址已注销,但通过国际刑警共享的技术档案库,发现这个邮箱曾在半年前接收过一份名为《净源计划:第一阶段数据清洗标准》的摘要文件。附件已无法获取,但元数据中明确标注了“基因纯化实验适用”“新生儿易感性筛选模型”等关键词。
林悦的眉头微微皱起。她调出法医中心的内部资料库,输入“净源计划”四个字。搜索结果为空。但她换了个思路,用“基因清洗”“胚胎干预”“新生儿STR异常”组合检索,跳出三条来自境外医学伦理委员会的通报记录,均提及一个未注册的民间科学团体,以“优化人类基因池”为宗旨,涉嫌在东南亚地区进行非法胚胎筛选实验。
“他们不是冲着钱来的。”她抬头,“是理念。”
郑宇轩站在白板前,拿起笔,在“陈默”名字下方画出两条线。一条指向G-7机房,另一条延伸出去,写着“净源计划”。他沉默片刻,又在两者之间加了一道双向箭头。
“不管他们图什么,现在有了入口。”他说,“陈默是桥。”
赵亮立刻接令:“要不要申请技术监听?或者调他的银行流水、住宿记录?”
“不行。”周维摇头,“证据链太薄。交通卡和生物样本只能证明他出现过,不能证明他作案。公钥关联也只是间接指向。现在申请强制措施,批不下来。”
林悦补充:“而且一旦打草惊蛇,他背后的人会立刻切断所有联系。”
郑宇轩摩挲着笔杆,指腹在金属纹路上来回滑动。他知道现在最危险的不是放走线索,而是让对方察觉已被盯上。陈默能设计出带自毁机制的指令包,说明他对警方的反制手段有预判。
“不申请搜查令。”他最终开口,“但要盯住他。”
他下令成立临时核查组,由赵亮负责技术追踪,林悦统筹生物证据复核,周维继续深挖通信残留。重点监控三个维度:陈默名下所有关联设备的无线信号频段、其可能使用的加密通信协议特征、以及科技园区周边三公里内所有未登记的临时住宿点。
“尤其是地下停车场、废弃办公楼、私人服务器托管点。”他说,“他需要物理接入点。”
赵亮立刻联系市交通监控中心,调取园区南门三天内的全部进出画面。由于闸机为离线设备,刷卡时不会实时上传数据,但摄像头记录了每次刷卡者的体貌特征。视频增强后,一个身穿深灰连帽衫、背着黑色双肩包的男子出现在三次记录中。面部被帽子遮挡大半,但左手无名指上一道明显的旧伤疤与陈默体检档案中的描述一致。
林悦同步启动法医数据库的持续比对程序,将B3**点后续采集的环境样本每日更新匹配。同时,她向市卫健委申请调阅陈默在职期间接触过的所有基因项目资料,寻找可能被用于非法筛选的技术路径。
周维则把重心放在那条隐蔽DNS信道上。他搭建了一个模拟环境,复现攻击者的通信模型。通过注入虚假响应,他发现对方服务器在接收到特定数据包后,会短暂开启一个未公开的端口,持续时间仅0.6秒。这可能是心跳检测机制的一部分。
“他们在确认节点是否存活。”他低声说,“如果我们能伪装成合法终端,也许能反向植入追踪标记。”
郑宇轩站在监控大屏前,看着地图上逐渐亮起的几个红点——科技园区南门、G-7机房供电线路、陈默最后一次刷卡时的摄像头位置。他拿起笔,在白板上写下最后一行字:“嫌疑人锁定,组织关联初现,行动代号启动。”
他刚放下笔,周维的终端突然弹出一条警报。
“诱饵系统收到新连接请求。”