第322章 人肉搜索擒黑客(1/2)
凌晨五点二十分的危机解除,只是让市一院这台庞大机器暂时恢复了运转的噪音。但空气中那根无形的弦,依旧绷得死紧。信息科主控室里汗味未散,键盘敲击声稀疏下来,取而代之的是一种劫后余生的虚脱和更深的隐忧。每个人都知道,那行来自幽灵账户“QZT_ad”的指令,像一个冰冷的签名,宣告战争并未结束,只是转换了战场。
阳光艰难地穿透城市上空的薄霾,照在“朝露花坊”玻璃门上的水痕,反射出细碎的光。岑晚秋刚把最后一束蓬松的满天星仔细插入盛着清水的白瓷桶,指尖掠过柔软的花瓣。手机在围裙口袋里闷闷地震了一下。她抽出手,屏幕亮起,是林夏在“市一院后勤互助群”里发的简短消息:“系统好像活了,药房扫码枪能用了,正在紧急补录数据。”
她拇指悬在屏幕上方半秒,没有回复,只是任由屏幕自动暗下去,重新沉入一片漆黑。指尖无意识地在冰凉的大理石台面上轻轻叩击了两下——咚,咚。节奏平稳,是她思考时的习惯。
齐砚舟那句话,此刻无比清晰地回响在她耳边,像一枚投入静湖的石子,涟漪扩散至每一处角落——“选在凌晨五点动手的,不是疯子,就是对你作息和防御漏洞熟到骨子里的‘熟人’。”
当时在医院走廊听他低语时,她只觉得形势严峻。此刻,结合那行刺眼的“QZT_ad”,她豁然开朗:这根本不是外部黑客的蛮力强攻,而是一次精准的“内部爆破”。那个早就该随着前任主管离职而彻底注销、埋入历史数据库的超级管理员账户,就是被故意留下的一把“钥匙”,或者更确切地说,是一枚埋设在数字堡垒深处的“定时炸弹”。医院系统瘫痪过一次,警报拉响,但引信并未拆除。暗处那双操纵的手,以及那双手所代表的、对医院内部规则了如指掌的势力,依然存在,随时可能再次拧动发条。
她转身,拉开老式橡木收银台最下方的抽屉。里面整齐码放着进货单、记账本和一盒用了一半的便签纸。她抽出一张淡黄色的便利贴,拿起柜台上那支吸附在磁铁上的黑色中性笔,笔尖悬停,然后落下,写下三行清晰有力的字:
1. break_v3 (攻击脚本名)
2. QZT_ad (幽灵账户)
3. 凌晨 04:58 (攻击发生精准时间)
写罢,她略一思索,在下方空白处补上一行小字,笔迹依旧工整:“高度怀疑为内部或熟知内情者作案,利用遗留高阶权限实施远程定向入侵。”
然后,她举起手机,调整角度,确保便签上的每一个字都清晰可见,按下了拍照键。没有过多修饰,直接将照片发进了她经营的“朝露花坊VIP客户群”。这个群里大多是常客、街坊邻居,还有通过插花课认识的各行各业的朋友。
群里的消息原本停留在几分钟前,几个熟客正在讨论周末要不要团购一批新到的霓虹玫瑰,商量着价格。这张写着技术术语和可疑时间的便签照片突然弹出,聊天框安静了足足五六秒。
接着,一条带着困惑表情的文字消息跳出来:“岑老板?这是……啥意思?拍电影剧本呢?”
ID叫“蔬果老孙”的街坊问:“小岑,出啥事了?跟咱这花啊草的有关?”
岑晚秋指尖在屏幕键盘上快速敲击,回复简短而直接:“不是剧本,是真事。市一院,昨天后半夜,信息系统被人黑了。急诊挂号全停,药房扫不了码,ICU部分监护数据传不出来。如果不是抢修及时,今天早上就会有病人因为对不上药或者剂量错误出危险。”
她刚发送出去,一条语音消息紧接着弹了出来,是常来买康乃馨去看望老姐妹的张阿姨,语气带着急切:“小岑啊!你说这个!我儿子就是搞电脑的,在区电信公司网络部!他懂这个!你要我们街坊邻居帮啥忙?你直说!”
岑晚秋心里微微一暖,打字回复,语气冷静而清晰:“张阿姨,谢谢,也请大家先别急。我们不需要去‘黑’回去,那不合法,也解决不了问题。现在需要大家帮的,是‘留心’。请大家平时刷手机、看新闻、逛论坛的时候,多留个心眼。如果看到网上——不管是微博、贴吧、知乎还是什么小众技术论坛——有人用炫耀、吹牛或者哪怕只是隐晦提及的方式,说到‘黑了医院’、‘测试系统漏洞’,尤其是提到我发的那三个关键词:‘break_v3’、‘QZT_ad’、或者‘凌晨四点多的医院’,立刻、马上,截图发给我。哪怕你觉得可能只是吹牛,也发。或者,你觉得有用的信息,转发到自己的朋友圈、其他群,让更多人看到。我们要做的,是让这件事被看见,让更多人知道,这不是恶作剧,这关系到医院里那些等着救命的病人能不能用上正确的药、能不能得到及时的救治。”
她略作停顿,将刚刚打好的那段文字连同那张便签照片,一起设置为公开状态,发了一条朋友圈。配文只有简单却沉重的一句:“帮个忙,扩散一下。这事关人命,不是玩笑。”
互联网的毛细血管开始悄然搏动。信息的涟漪以一种朴素的、基于人情与公义的方式扩散开去。不到半小时,花坊VIP群和她的私人微信开始陆续收到提示音。
一个ID为“IT老李”的群成员(岑晚秋记得他是在附近科技园上班的工程师,常来给办公室买绿萝)发来私聊窗口,没有寒暄,直接贴出一张截图。截图来自某个本地技术爱好者聚集的论坛,一个匿名帖子标题赫然写着:“[技术分享] 昨夜小试牛刀,轻松拿下本地某三甲医院核心系统,老系统漏洞真多”。帖子正文里,发帖人用颇为自得的语气描述过程,其中关键几句被“IT老李”用红色画线标出:“……用了点小技巧,找了个他们自己都快忘了的老管理员账户,权限还在,笑死。”、“脚本是我自己写的break_v3,第三版了,前两次在测试环境跑总有点小问题,这次终于流畅了……”
岑晚秋的心跳猛地漏了一拍,随即加速。她将截图放大,仔细查看每一个细节。发帖时间显示是今天上午九点多,但帖子里描述的“攻击时间”正是凌晨四点五十八分前后!与医院遭受攻击的时间完全吻合!她立刻回复“IT老李”:“截图极其重要!能想办法定位发帖人吗?哪怕只是大致范围?”
“IT老李”很快回复:“纯技术论坛,IP是经过多层代理跳转的,假的。但是,”他话锋一转,透着技术人员的敏锐,“这人嘚瑟过头了。他在帖子二楼贴了一张所谓的‘成果图’,是命令行操作界面的截图。右下角,有个没关干净的、半透明的弹窗,是网吧计费系统的低电量提醒!我放大处理了一下图像,弹窗标题栏有模糊的logo,是‘极速通’连锁网吧的标识,’。”
“极速通网吧,南区分店,07号机。”岑晚秋默念了一遍,眼神锐利起来。她没有丝毫犹豫,将这个关键信息立刻转给了另一个群成员——退休的中学计算机教师陈姨。陈姨退休后一直是社区网络安全志愿宣传员,人脉颇广,尤其是和市里网安协会的志愿者团队很熟。
陈姨的回复快得惊人:“收到,小岑。我已经联系上市网安协会的志愿者负责人了。他们有一些合规的辅助排查手段,特别是针对公共场所的未加密Wi-Fi网络接入设备,可以通过设备指纹(MAC地址)进行反向追踪。只要这个人在网吧用的电脑或者手机连接过网吧的公共Wi-Fi(很多网吧提供这个),并且没有刻意伪装MAC地址,就有希望锁定。”
等待的时间格外漫长,却又在有条不紊的推进中显得紧凑。两个多小时后,陈姨的电话直接打了过来,声音带着压不住的振奋和一丝疲惫:“小岑,有结果了!网安协会的志愿者配合警方提供的权限,回溯了‘极速通’南区分店今天凌晨的无线网络连接日志。根据‘IT老李’提供的截图时间点和那个计费弹窗信息,他们锁定了凌晨五点到六点之间,连接到该网吧Wi-Fi的一台设备。设备MAC地址登记为一台某品牌黑色轻薄笔记本电脑。日志显示,这台设备在凌晨五点十二分接入,使用时长三十七分钟,期间除了访问那个技术论坛,还短暂连接过三个社交平台的API接口,很可能是在同步或上传数据。”
“更重要的是,”陈姨压低了些声音,“这家伙退出登录前,虽然清除了本地浏览器历史记录,但他用的浏览器登录了个人账户,开启了云端同步功能。志愿者通过一些技术方法,在符合规定的范围内,恢复了一份他未完全上传成功的云端临时缓存文件碎片,里面有一份攻击日志的文本草稿,内容……和医院信息科提取到的攻击特征高度吻合!”
所有零散的线索,在这一刻被坚韧的民间网络和专业的志愿力量串联起来,形成了一条清晰、确凿的证据链。岑晚秋握着手机,指尖因为用力而微微发白,但心却沉静下来。她没有任何耽搁,立刻将“IT老李”的截图、陈姨反馈的信息、时间线对比、以及自己的简要分析,全部整理成一份条理清晰的电子文档。文档最后,她附上了一段冷静的说明:“以上信息为多位热心市民根据公开或半公开信息交叉比对、分析所得,强烈指向一名于今日凌晨在‘极速通’网吧南区分店活动的个体,其行为与市一院信息系统遭受的恶意攻击事件存在重大关联。为避免潜在公共安全风险,恳请有关部门予以核查。”
她将文档打印出来,纸质材料捏在手里有一种沉甸甸的实在感。装进一个普通的牛皮纸文件袋,封口。拎起日常用的帆布包,将文件袋小心放入,转身锁好花店的门。风铃在她身后发出清脆的叮咚声。
本章未完,点击下一页继续阅读。