长亭百川云 - 文章详情

Mirai的自白:三名年轻黑客如何打造了一个摧毁互联网的怪兽(二及尾声)

网安志异

54

2024-07-13

第二部分

对于 Brian Krebs 来说,2016年9月22日成为史上最强大的DDoS僵尸网络的目标并不是个合适的日子。

一整个早上,一个施工队一直在弗吉尼亚州北部的郊区更换 Krebs 家的外墙。不断的敲击声吓坏了他的狗,那狗的反应就像是野蛮人正在对他们的家发动攻击。Krebs 是一名独立的调查记者和安全研究员——在网络安全界是最著名的人物之一。他没有其他工作场所可以逃避。“我当时已经快疯了。”Krebs 说。

Krebs 说,就在那天稍晚一些时候,开始变得清晰起来,他的狗并没有反应错。事实上,他确实正在被围攻。而且野蛮人正在赢。

就在两天前,提供DDoS(分布式拒绝服务攻击)防护服务的Prolexic就警告他,情况似乎出了点问题。他的网站KrebsonSecurity遭到了攻击,根据Prolexic的测量,攻击流量高达惊人的623吉比特每秒。该公司从未见过如此庞大的攻击,但它神勇地消解了这些流量,Prolexic的代表告诉Krebs,他的站点还能在线上正常运行。

“哇塞,Prolexic报告说我的网站刚遭到了互联网有史以来最大的DDoS攻击,”Krebs那天晚上在推特上写道。“站点还在上面,#FAIL。”

Krebs为他追踪网络犯罪分子所做的工作感到自豪,这方面他在新闻界几乎无人能敌,这个角色也使他树敌不少。有人因为成为他调查的对象对他进行过“诈弹”(swatting,一种恶作剧),甚至有人曾尝试将暗网海洛因邮寄到他家,企图陷害他。遭到他报道的不满对象的DDoS攻击对他来说已经不新鲜。但他现在意识到,嘲讽这次特别的攻击来源或许是不明智的。

在接下来的两天里,他继续收到Prolexic的通知,那次大规模的DDoS攻击仍在进行中。实际上,在那段时间里,攻击者一直在改变策略,不断发起新型数据,目的是让Prolexic更难过滤,或者攻击更上游的机器。“这些家伙真是混蛋,”Krebs说,“他们什么招都用上了。”

在所有这些事情中,攻击开始后36个多小时,Krebs家里的一位工作人员不小心踢到了他的卫星碟,导致家里的互联网连接中断。他试图用手机给电脑提供网络连接,但带宽太不稳定。与此同时,攻击仍在持续,那是一场持久的、压倒性的恶意数据洪流。

22号下午,Krebs在努力上网时,接到了Prolexic的又一通电话。这次公司很有礼貌但直截了当地告诉他,他最好找到新的DDoS防护资源。他们要放弃他了。世界上最大的DDoS防御公司也无法应对持续冲击他网站的巨大数据洪流了。

Krebs上了车,开到了当地一个企业的停车场,希望为他的笔记本电脑找到一个稳定的Wi-Fi连接。在那里,他给他的网站托管服务供应商打了电话,警告他们,没有了Prolexic的防护层,他们很快就会遭受难以想象的数字之痛。他建议,与其让所有的客户都被下线,不如将他的网站配置成指向一个不存在的IP地址,从根本上将攻击流量—以及任何试图访问他网站的人—重新引导到“地洞”中去。

托管公司采纳了他的建议。KrebsonSecurity.com立即离线。接下来的几天里,随着Mirai的威胁悬而未决,看似只要网站一重现,它就准备好再次将网站摧毁,网站持续保持离线状态。

对于Krebs来说,被网络罪犯成功封锁是一种全新的体验。他回忆说,他惊叹地说:“有人刚把我的网站弄下线了,而我对此无能为力。”

Josiah、Dalton和Paras释放了他们的超级武器,而且很显然,几乎没有什么在互联网上能承受得住它的攻击。

当Krebs在推特上说他的网站遭受了“互联网有史以来最大的DDoS攻击”时,他几乎是对的。事实上,Mirai几乎在同一时间攻击了法国互联网供应商OVH,其攻击流量更是达到了震惊人心的每秒一太比特。这个由数十万台被黑设备组成的僵尸网络还在8月安静地击败了一家网络托管公司和一个Minecraft服务,其攻击规模几乎同样巨大,但安全界大多没有注意到。

在将他们那可以完全操作的“死星”投放市场并供人租用仅仅几个月后,这三个黑客——所有人都还未到法定饮酒年龄——便拥有了一小批忠实的客户群。一位化名为“Drake”的黑客据说扮演了某种销售代表的角色:他会定期随机攻击一些目标,作为市场营销的一种形式,向潜在的付费客户展示Mirai的强大火力。其中一位自称在俄罗斯的顾客,曾租用Mirai对网络犯罪界的竞争对手进行攻击,瘫痪了这些对手的网站。看起来最频繁的用户似乎是一位在巴西的黑客,他反复且莫名其妙地租用Mirai对里约奥运会的网络进行攻击,一度用超过每秒半太比特的流量轰炸。

Paras本人也曾使用Mirai攻击他老对手——罗格斯大学的IT部门,主要还是出于报复的乐趣。在另一次他甚至尝试将其用于对他们以前曾经的ProTraf客户进行直截了当的勒索,用Mirai攻击了一个Minecraft服务器,然后索要比特币支付。为了让与ProTraf的联系不那么可疑,他甚至复制了自己的ProTraf电子邮件地址作为勒索信的一个接收者。但是那家公司没有支付。Josiah不同意Paras的勒索行为,他们后来再也没尝试过。

按照Paras所说,正是他们的巴西客户决定要用DDoS将Krebs推向末日。Paras在那天醒来,看了一些关于Krebs遭受的巨大攻击的新闻报道——到目前为止,他是Mirai最知名的受害者——他立刻感到既兴奋又害怕。他回忆说:“希望这不是我们的僵尸网络。”他检查了他们的用户日志。“天哪,这正是我们的僵尸网络。”

在之前巴西人对奥运会的攻击之后,Paras和Josiah认为这位用户在选择目标上可能太过鲁莽了。他们尝试限制他访问Mirai的权限,让他的会话仅持续10分钟。但Paras看到,这位毫无顾忌的巴西人简单地手动反复重新启动了对Krebs网站的攻击,整夜都在进行——而且他还在继续。

Paras 给 Josiah 和 Dalton 发了消息,他们迅速跳到一个私密、加密的 VoIP 服务器上进行了紧急通话。他们都同意:摧毁一个非常著名记者的网站已经超出了有益营销的范畴,变成了他们不需要的那种注意力——那种让你被逮捕的注意力。“你不想去惹那头熊,”Josiah 说。“这是相当大的一次挑衅。”

到这时为止,他们大家都已经 19 岁或以上了。他们是成年人,正在进行着一个极端明显的犯罪合谋。他们开始意识到,Mirai 现在给他们带来的压力并不值得。而且尽管在它诞生的最初几个月内造成了巨大的混乱,Mirai 只为 Josiah 赚到了一小部分他所希望的金额:总共大约价值14000美元的加密货币。即便是世界上最大的 DDoS 攻击,对于那些实施者来说,也仅仅是一种相对便宜的商品。

他们才刚刚推出了这个震撼世界的怪物。现在他们已经需要一个退出策略了。就在一两天后,Paras 提出了一个新的想法。他们的“俄罗斯”客户,尽管偶尔租用 Mirai 的接入权,但他告诉 Paras DDoS 是一个糟糕的生意。钱不多。噪音太大。他建议他们考虑与他合作,利用他们构建僵尸网络的技能去从事一个更加隐秘、更有利可图的机会:点击欺诈。

Paras 解释说,将所有那些被劫持的机器静静地点击付费点击的网络广告,而不是攻击受害者,他们可以每个月通过对广告商进行不易察觉的欺诈而赚取数以万计的美金,这是一种远不那么具有破坏性的网络犯罪。Josiah 和 Dalton 同意,他们应该开始从网络攻击租赁行业转向这个更受尊敬的黑市生意。

但他们还是没能立即结束他们所创造的怪物。相反,Paras 和 Josiah,他们控制了 Mirai 目标的大部分比 Dalton 更多,试图将 KrebsonSecurity.com 的 IP 地址添加到至少能停止攻击的黑名单中——尽管他们将在接下来的日子发现,他们试图约束他们最不可预测的客户的努力又一次失败了。

不管怎样,那时已经太晚了。Josiah是对的。他们惹怒了熊,现在熊醒了过来。

Elliott peterson正坐在距离那里数千英里之远的西北方向,也就是FBI位于阿拉斯加州安克雷奇的办公室里,当他读到Brian Krebs被从网络上抹去的消息时,他感到非常震惊。Brian Krebs是一位他很熟悉的记者。他很震惊地得知,一次攻击竟然能够对Prolexic发起如此猛烈的冲击,而Prolexic的母公司Akamai是个互联网巨头,它的整个商业模式就是依赖于处理巨大的流量——攻击强到足以实际上堵塞世界上最大的数码通道之一。而这一切,只是为了让一个记者闭嘴。Peterson意识到他刚刚目睹了一个新时代的开始。“突然之间,世界意识到有人在那里搞出了一太比特的流量,”他说。“没人准备好迎接这个。”

自从在匹兹堡的一次网络犯罪会议上看到Allison Nixon现场演示的booter之后,已经过去了两年。Peterson自那以后回到了他的家乡阿拉斯加,接受了在FBI最小的外勤办公室的任务,并将其变成了一个不太可能的中心,这里专门负责关闭僵尸网络和booter操作。就在几天前,他得知vDOS的两名管理人员在以色列被拘留了,这两个人是Mirai团队最近一直在交战的对手黑客。Peterson已经参与调查vDOS好几个月了。事实上,这次逮捕是Mirai最终赢得这场竞争的真正原因。

现在,Peterson看到这次瓦解只是为使用更强大武器的人清除了场地,这让他感到不安。他知道他也需要接手这个案子。

在位于安克雷奇红砖联邦大楼内的“网络中庭”(一处顶部有玻璃的闭合空间,专门容纳少数专门从事网络犯罪的FBI探员)的隔间工作室中,他开始深入调查。他和Nixon曾帮助创建了一个处理分布式拒绝服务(DDoS)攻击的行业工作小组,名为Big Pipes。他立即从那儿的联系人得知,Akamai受到了一个名为Mirai的神秘新型僵尸网络的攻击。

即便正在应对Krebs危机的紧张时刻,Peterson也明白,要让安克雷奇办公室着手处理这个新出现的威胁,他首先得跨过一个法律障碍:他需要证明被攻击的受害者或创建者在阿拉斯加州。Krebs和Akamai都在数千英里之外。因此,他意识到自己必须找到阿拉斯加州内被Mirai感染的设备。幸运的是,此时网络上已有数十万受感染的设备,这场数字瘟疫几乎蔓延到了世界的每一个角落。

与此同时,Peterson只能无助地看着Mirai让Krebs的网站下线超过48小时。最终在Google的帮助下,Krebs才成功恢复了网站的运行。这个网络巨头最近扩大了一个名为“Project Shield”的公益DDoS防护服务,面向更广泛的用户,并且急于证明自己能承受因特网最大规模的攻击。

KrebsonSecurity重新上线后的两小时内,又遭到了Mirai的攻击。Paras说,网站的IP地址已经改变了,所以他和Josiah的封禁名单并未阻止他们的巴西客户重新发起攻击。但这一次,网站依然保持在线。

Google联系了FBI,并在Krebs的许可下,最终共享了Mirai攻击流量来源的IP地址名单。Peterson和他的四人团队开始逐项检查。果不其然,他在数据中看到Mirai感染的设备遍及阿拉斯加州,以及美国几乎所有其他州。他开始追踪那些阿拉斯加设备的所有者,试图在电话中向他们解释,他们的路由器和安全摄像头系统在不知不觉中已被用作攻击的炮灰。最后,Peterson获得了突破:他说服了位于凯奇坎镇的一个狩猎小屋的所有者将其被恶意软件感染的安全摄像机DVR拔下并送往安克雷奇作为解剖和使用的证据。

Peterson发现了他在阿拉斯加的受害者。他启动了一项调查,追踪背后操控Mirai的黑客。

Peterson在海军陆战队服役后、加入联邦调查局之前,曾在密歇根的一所大学担任“男生院长”。在那个岗位上,他帮助那些有情绪问题和药物滥用问题的孩子,基本上起着辅导员和导师的作用。对于一名未来的联邦探员来说,这是一个不寻常的角色,但这两份工作反映了Peterson奇特的双重性格:一半是按规则行事、头发剪得短短的G-man(政府特工),一半是意图善良、友好的中西部青年牧师。

Peterson在追查Mirai期间,也展现了这种特有的友善态度。他开始在Hack Forums及其群体中礼貌地打听,这是他在追踪booter服务多年中变得熟悉的场景:谁可能认识那些匿名黑客,他们在出售获取Mirai访问权限的途径?

调查开始不久后,他在安克雷奇办公室的团队就得到了一个关于一个可靠消息源的线索。他们设法从一台被感染的设备上获取了Mirai代码的完整样本,并发现它会连接到一个由DDoS减缓公司BackConnect托管的命令和控制服务器。Peterson认得这个名字。在之前追查vDOS团伙时,BackConnect就遭到了Mirai的竞争对手的攻击;作为自卫,公司使用了BGP劫持手段,将vDOS的基础设施拉离线——这种激进的行动几乎使Peterson的vDOS调查功亏一篑。

于是,他给BackConnect的管理层打了几个电话,询问该公司的BGP劫持行为以及他们托管的、如今已经迁移走的Mirai服务器,以及他们是否有联系控制它的人。BackConnect的工作人员说他们没有,但建议一位可能知道的人:他们的一个认识的公司ProTraf Solutions的Paras Jha似乎与Mirai背后的人有所接触。

毕竟,Paras收到了一封勒索邮件,邮件里有人声称进行了Mirai攻击——不是Peterson也不是BackConnect知道Paras自己发的那封邮件——他们还听说他和一个叫Ristorini的Mirai操纵者有过交流。

所以Peterson打了ProTraf的电话,并留下了一条语音信息。Paras回了电话。Peterson记得Paras的语气和他一样有礼貌、友好,并且冷静地解释说,是的,他确实在网上与Ristorini聊过,但他对试图敲诈他以前的一个客户的人的真实身份一无所知。

Paras让对话保持简短,但表示他会继续打听情况,并保证一旦有了更多的消息就尽快联系,以任何可能的方式帮助。然后他挂掉电话,立即打电话给Dalton和Josiah,告诉他们FBI正在追查他们。

这一次,他们的紧急会议中充满了恐慌:他们现在需要抛弃Mirai。

Dalton建议他们简单地拆除Mirai的基础设施,清除指挥控制服务器和加载器服务器,并摧毁他们管理它时用过的每一台电脑的硬盘驱动器。“尽可能地保持低调,彻底结束这一切,销毁我们的驱动器,”正如他所说。然后他们可以悄无声息地转向他们更有前景的点击欺诈业务。

Paras又有了一个主意:他们何不把Mirai的源代码放出去呢?如果他们在Hack Forums上公开发布,这将会被世界上所有热衷于DDoS攻击的黑客所采纳,就像Qbot一度那样。他们可以混入那个人群中,这会极大地增加这位爱管闲事的阿拉斯加FBI探员或其他任何人确定原始Mirai的难度,在众多模仿攻击的浪潮中寻找起源。

Dalton则强烈反对。他认为释放源代码只会让Mirai更加引人注目,造成更多损害,并且使得执法机构更加坚决地找出botnet的原创者。

通话最终演变成了一场大声争吵,这是这三个朋友之间真正的第一次激烈辩论。Dalton大声地告诉Paras不要发布代码。但Paras依然坚持己见。与此同时,Josiah默不作声地听着,卡在朋友之间,无法打破僵局。

当他们挂断电话时,他们同意他们的Mirai之旅到此为止了。但对于怎样处理它的源代码,他们意见仍然不一。

于是Paras自作主张。几个月前,他在Hack Forums上为Mirai的主脑角色创建了一个新的傀儡账号:他给这个账号取名为Anna-Senpai,这个名字来自于日本动画节目《下流梗不存在的灰暗世界》中的反派,这与Mirai喜爱动漫的掩护角色相吻合。

现在是深秋九月末,他再次以Anna-Senpai的身份登录,发布了令人震惊的声明。“我已经赚够了钱,现在有很多眼睛在关注物联网,所以是时候闪人了(GTFO)," 他写道。“所以今天,我有个惊人的东西要发布。”随后的帖子链接到了Mirai源代码的下载页面,并附有一份教程,详细说明任何人如何使用它创建属于自己的大规模、自我扩散的物联网攻击工具。他在另一篇帖子中补充说,Anna-Senpai现在正在逃亡,从法国逃到一个不引渡的国家。

有人正在使用复制的僵尸网络来捉弄一家视频游戏公司——而间接损害是世界上前所未见的最糟糕的互联网中断。

Paras刚刚将一种超级武器的配方扔进了混乱中。除了举起烟幕来躲避FBI的追捕,这也是一次最后的、史诗般的恶作剧:一种摇晃全球互联网蚁群的方式,观看蚂蚁们如何慌乱地奔走。

黑客论坛社区做出了相应的反应,纷纷对他表示赞扬并钦佩Mirai精湛的编程。一些用户写道,这得是专业人士的手笔,而不是论坛里典型的青少年想入非非者的所为。“你简直是个传奇,”一个用户写道。“年度泄露,”另一个用户写道。

几天内,一位用户回应说他们已成功使用源代码创建了自己的包含30,000个设备的Mirai僵尸网络。另一个人插话说,他们的僵尸网络已经达到了86,000台机器。“光荣的复制粘贴势必发生,”又一个感激的黑客写道。“物联网僵尸网络会像野火一样迅速蔓延。”

“史上最牛的黑客工具!要把所有人都干掉!”另一个Hack Forums的粉丝写道,总结了这一刻的狂喜情绪。“我一直想要一个能DDoS整个地球的僵尸网络!”

Peterson看到Mirai代码被在线泄露时,深感震惊,他认为这是一种极端鲁莽的行为。然而,Paras所期望的让他退缩的事并没有发生,Peterson立刻有了一个念头:他的深入调查激发了这一切吗?他与Paras的对话是否与此事有某种联系?

在Anna-Senpai释放Mirai的不久后,Peterson在案件中取得了又一突破:一些与反DDoS团体Big Pipes合作的大学研究人员告诉他,他们在其蜜罐机器的日志中发现了一个线索,用以监控网络扫描。两个月前的8月1日,他们发现一种原始Mirai扫描工具——或许是僵尸网络侦察代码的最早版本——曾经从一个位于美国的IP地址探测过他们的设备。

Peterson联系了IP的托管公司,请求揭露背后的身份信息,并得到了一个用户名称:Josiah White。ProTraf解决方案的另一位创始人。

联邦调查局的特工再次联系了ProTraf,并这次与Josiah通了电话,依旧保持着亲切的语气。Josiah试图听上去很专业,但被Peterson的发现弄得措手不及,紧张地承认,是的,他“做了一些扫描”。毕竟,扫描互联网并不是犯罪。然后他拒绝回答更多问题,并挂断了电话。

Peterson一直对Mirai团队的操作安全性感到着迷甚至印象深刻:仔细的代理层次使用、追踪连接的死胡同、他找到的Mirai操作者账户的“doxes”(在线个人信息泄露),所有这些都似乎是让他迷失了方向。但现在,进入调查仅数周,他就知道Josiah早期扫描的小失误让他得以绕过所有那些混淆和误导。他的团队开始向与Paras为Mirai创建的临时资料与账户,以及Paras和Josiah本人还有ProTraf Solutions的每一个账户所关联的电子邮件和互联网服务供应商发送一连串的法律请求。

当Peterson在Hack Forums上深入调查时,他还注意到还有一个有趣的账户有时会回应Anna-Senpai的帖子——一个叫Fireswap的用户。他们似乎经常为Mirai的创造者辩护,同时抨击那些批评他们源代码的人。因此,Peterson向Hack Forums发送了一个法律请求,要求Fireswap的电子邮箱地址——fireswap1337@gmail.com——然后他要求谷歌提供该用户的元数据。

Peterson查看了注册给名为Bob Jenkins的人的Fireswap的谷歌账户的登录记录,他可以看到登录来自于同一个VPN或代理服务器IP地址,这个地址就是仔细用来创建假的Mirai doxes的地址——有时两者只是相隔几分钟。但在某些情况下,“Jenkins”使用的是不同的IP:这和Paras用来连接他的ProTraf电子邮件账户的IP是一样的。

Paras从未怀疑过调查人员会想到调查他仅仅为了在Hack Forums上为自己助威和抨击批评者而创建的垃圾账户。现在,它成了将他与Mirai联系起来的缺失环节。

Peterson还没有听说过Dalton Norman。但他现在相信他已经找到了Mirai的两位创作者。他们网络犯罪生涯的终结已经近在眼前。但他们邀请到互联网上的混乱才刚刚开始。

Mirai一旦完全释放并在野外繁殖,它并没有立即摧毁互联网。这花了三周的时间。

在2016年10月21日的早晨,Allison Nixon刚开始在Flashpoint的办公室里工作,这是位于曼哈顿中城西部荒凉边缘的一座旧服装厂,当时一个同事向她指出互联网出现了严重的问题。

具体来说,它的电话簿坏了。域名系统(DNS)是一种机制,它将人类可读的域名转换为实际引导互联网流量到托管服务的计算机的IP地址。DNS就是让你可以记住“Google.com”而不是2001:4860:4000:0:0:0:0:0作为告诉你浏览器加载搜索引擎的方式。

那天早上,好几十个网站的DNS似乎都受到了严重影响。美国各地的互联网用户在浏览器中输入需要翻译成IP地址的域名,而这些翻译这些IP到域名的服务器都已经被踢出网络了。Nixon记得一位同事对她说:“有大事正在发生,我们需要弄清楚发生了什么。”

当Nixon的团队尝试向一些受影响的网站发送DNS请求——那些同样巨大的新闻网站、社交媒体、流媒体服务、银行网站,以及其他大量的重要服务,跟Scott Shapiro和其他成千上万的用户一样,他们想要连接,却都徒劳无功——他们看到所有这些网站使用的是同一个位于新罕布什尔州的DNS提供商,一家名为Dyn的公司。尽管Nixon当时还不清楚,但少说有175,000个网站都离线了。

在寻找这场互联网崩溃根源的过程中,她检查了她的“悲伤”数字视频录像机(DVR)生成的攻击日志——她的团队现在已经有好几台用作诱饵。果不其然,她看到一个Mirai变种——自从Paras泄露源代码以来,已经出现了许多仿制者——一直在无休止地轰炸Dyn DNS服务器,该服务器服务于Sony的PlayStation游戏网络。攻击的影响显然溢出,导致Dyn的整个DNS系统瘫痪。有人在用他们的山寨僵尸网络来恶搞视频游戏公司——这是典型的Hack Forums行为——而附带造成的损害是世界上前所未见的互联网中断。

Nixon一直警告的那种带有虚无主义和青少年愤怒情绪的大规模分布式拒绝服务(DDoS)攻击终于来临了。“我们为那天的到来准备了很长时间,所以有点自我证明的感觉,”Nixon说。“从另一个层面上来说,它又是超级、超级有压力的。”

Dyn遭受攻击后不久,Nixon设法联系上Dyn的某个人,并分享了指向Mirai的证据,这是Dyn直到那时才隐隐约约意识到的嫌疑人。那个时刻的Dyn员工虽然焦虑,但仍然有信心能够处理问题并让他们的服务器重新上线。

在东部时间上午9点前不久,Dyn真正开始内部瓦解。

DNS记录的设计类似于一种分层电话树。像Google和Comcast这样的大型服务拥有自己的DNS服务器,准备好响应请求域名IP地址的计算机,并且它们只是偶尔与“权威”DNS提供商——在这个案例中是Dyn——核对确保它们提供的地址未发生变化。有些服务每分钟多次检查,而其他服务可能会在刷新前几小时参考它们最后一次更新的DNS数据。

就在Mirai攻击发生几分钟之内,Dyn就已经陷入困境,因为设置为每15秒、30秒或60秒检查一次新DNS记录的DNS服务器不断地轰击公司那已经不堪重负的权威服务器。当它们得不到答案时,就会再次询问——一遍又一遍。毕竟,它们被设计成期待得到回答的:像Dyn这样大的权威DNS提供商从未发生过宕机。

但随着时间的推移,Dyn的服务器持续宕机,发出DNS请求的合唱团开始包括那些每小时仅检查一次的主要服务。然后是那些每两小时检查一次的。然后是三小时。现在所有这些都加入到不断敲打Dyn大门的人群中。有些互联网服务甚至设计了它们的DNS系统,当他们现存的服务器得不到回应时,会自动启动新的DNS服务器来请求答案,这样就增加了查询的潮流。

“一旦连锁故障开始,那就是每个人都非常非常紧张的时候,”在攻击当天在Dyn工作的一位人士说。“在那之前,图表看起来很尴尬,但它们看起来不是灾难性的。但然后它们就像翻过了一个边缘,因为主要服务无法得到回应,数字开始急剧上升。”

换句话说,Mirai攻击引发了一系列连锁反应。互联网的IP地址目录系统开始自我DDoS。

与此同时,Dyn还开始经历一种平行的、人为的DDoS攻击,因为人们开始以几乎相同的连锁结构要求得到答案。对它们处于昏迷状态的网站感到愤怒的企业客户开始轰炸Dyn的电话线路。当管理层无法回答他们的问题时,他们就将问题向下传递给已经完全不知所措的工程师。“当寻求答案的管理层和客户服务人员与能够提供答案的人数之比开始激增时,”Dyn的员工回忆说,“那时候真的开始感觉到混乱。”

问题的加剧有一种近乎滑稽的巧合:Dyn的一支团队正好在那一天等待Oracle公司签署交易文件,以6亿多美元的价格收购他们的公司。没人想在如此重要的时刻——新老板首次关注之日——被记住为没能保持互联网在线的中层经理。在整个企业恐慌中,还有关于中国或俄罗斯负责的谣言不断,似乎他们面临的是一个全能的国家支持的黑客行动。

这些谣言很快就消失了。按照某些标准来说,中断的时间也很短。到了当天下午,Dyn就设法控制住了攻击,并开始向客户逐一发送DNS响应,一个接一个地安抚不同网络对其服务器的呼声。

但Dyn中断事件的后果影响更长远。国际互联网的一大部分在半天内离线的总经济成本是难以衡量的。Sony报告称,其PlayStation Network是攻击的原始目标,估计净收入损失了270万美元。攻击后,据估计,Dyn暂时失去了大约8%的合约网域——总计超过14,000个——以及未来的数百万美元收入。

当Paras、Dalton和Josiah看着一个用他们的代码构建的僵尸网络破坏互联网的骨干时,他们表现出了不同的反应。Paras记得他对攻击如此容易感到震惊:发动攻击的Mirai克隆只用了不到10万个设备,只是他们最初僵尸网络规模的一小部分。Dalton感到一种悲观的“我早告诉过你们”的认证,他认为释出源代码的风险是正确的,同时也知道这肯定会招来更多的麻烦——但他也带着一丝骄傲地指出,发动这次震撼互联网的攻击者甚至没有更新他们的代码。“根本没有任何创新,”他说。

Josiah在三个年轻人中与联邦调查局的关系最为密切,也许是最感到困扰的一个。那时候,他的家搬出了宾夕法尼亚乡下,迁入了附近华盛顿镇的一栋三层楼房。就是在那里,他在现在作为办公区的地下室储藏室里,读到了关于Dyn灾难的新闻,震惊和畏惧交织让他陷入沉默。

至于Elloitt Peterson,他在联邦调查局安克雷奇办公室度过了忙碌的一天,接听来自各个机构和官员的电话。在一个月的时间里,他的案件从网络安全行业的一个趣事,变成了一个国际大混乱,变成了国土安全部和在白宫新闻发布会上提问的记者们急切关注的话题。

那时还没人知道是谁复制了Mirai,并用它攻击了Dyn。但Peterson有信心,他已经知道是谁创造了Mirai并把代码交给了那些攻击者。是时候去拜访一下Josiah和Paras了。

在那个一月中旬的清晨,凌晨6点不到,太阳还远远没有升起,Josiah听到了他家前门上的猛烈敲击声。

两个月来,他一直在等待突袭。他现在保持着夜间作息,和Paras以及Dalton一直在电脑前工作到凌晨3点或4点,然后睡到上午8点,接着去他父亲的电脑修理店。但那个晚上,尽管他在凌晨4点多才上床睡觉,他仍然躺着,完全醒着,脑子里充满了焦虑。

当敲门声响起,他的哥哥从他们共用的地下室卧室匆忙上楼时,Josiah 走进储藏室迅速关掉了他的电脑。制造 Mirai 的三个创造者都很小心,他们利用远程服务器进行黑客活动,并且只通过自己电脑上运行的临时虚拟机连接到服务器。因此,Josiah 认为关掉电脑会清除内存中残留的任何数据。然后,在关掉手机之前,他通过加密通讯应用 Signal 给 Paras 发了一条消息:“911。”

Josiah 穿上一条运动裤,抓起一件 T 恤衫。他爬上楼梯,正走过一个黑暗的走廊,还在试图套上那件 T 恤,突然发现一束手电筒的光——后来他才知道,那是一把带手电的枪——正对着他的脸。他记得有个特工说:“放下那件衫。”

Josiah 被赶到自家门廊,没有穿上衬衫,站在宾夕法尼亚州西部寒冷的冬季户外,他的家人已经都在那里被控制了。街上停满了黑色的 Suburban 车辆。Elliott Peterson 就在门廊上迎接 Josiah,他用那种古怪而友好的语调说话。“哦,嗨,Josiah。我希望我们不是在这种情况下见面的”,Josiah 记得他说。“但我就在这里。”

特工让 Josiah 的家人在冷风中颤抖了好几分钟之后,又把他们带回屋里。在搜查房子的过程中,Josiah 设法穿戴整齐,坐在客厅里。但即便他已经暖和起来,依然无法停止颤抖。当他的秘密生活最终与家庭生活激烈碰撞时,他记得尤为尴尬的是,他离开了 FBI 正在搜查的那个杂乱无章的储藏室。

除了 Peterson,Josiah 还看到当地的匹兹堡 FBI 官员参与了突袭——还有法国特工。他后来了解到,法国执法官员也突袭了法国某个无辜替罪羊的家,那里的服务器上充满了动漫。

经过几个小时的搜查,特工们带走了Josiah的电脑、硬盘和手机,Peterson请Josiah和他的父母进餐厅谈话。“你可能知道我为什么会来这儿,”Peterson说。Josiah回答说他可以猜到。

谈话持续了大约半个小时。Peterson提到了Mirai扫描服务器,而Josiah再次回避,什么都没有承认。联邦调查局特工警告Josiah不要对任何人透露这次搜查的事——他不知道Josiah已经向Paras发送了“紧急求助”的警告。然后他就离开了。

在随后的沉默中,Josiah的父母告诉他是时候坦白一切了。在痛苦难忍的30分钟车程中,他们去修电脑的店里开工,Josiah向父母坦白了一切。父母面无表情地聆听,对儿子的未来感到过于恐惧,以至于都不生气。

最终,他的父亲回答说:他们必须将Josiah的命运交给上帝。

对Paras家的突袭在第二天进行。Peterson希望两处搜索能同时进行,但他决定他应该亲自到场,所以他离开Josiah家后花了350多英里的路程,驱车穿过宾夕法尼亚州,直到新泽西州。

上午6点,Paras听到有人再次猛敲家里的前门,这时他正在从罗格斯大学回家过寒假。多亏了Josiah的提醒,这第二次突袭比第一次的吓人效果小了很多:Paras仔细地清理了电脑里的所有证据,并在联邦调查局(FBI)探员到来之前就已经关机了。为了寻找Paras可能隐藏的存储设备,探员们带来了一条训练有素的电子嗅探犬——它能闻出计算机硬件组件中的胶水味。Paras记得,那条狗好像想和他家的狗玩,这个滑稽的场面帮助缓解了他们所受的惊吓和压制。

当Paras亲眼见到Peterson时,他的第一反应是恼怒——这位精神抖擞的FBI探员居然从阿拉斯加远道而来,搅得他家天翻地覆。Peterson询问Paras,Josiah是否已经告诉他前一天在Josiah家的搜查情况。Peterson以为Josiah按照指示保持了沉默,他希望Paras会因为他的朋友没有提前告诉而心里种下一颗背叛的种子。

但是Paras反而笑了,并表示是的,Josiah已经警告过他,这让Peterson感到意外。而且和他的朋友前一天一样,Paras拒绝承认与Mirai有任何关系。

Paras家人因这次侵入行动深感震动。但当探员们离开后,他向父母保证这只是个误会,他不知道为什么这位阿拉斯加的FBI探员似乎如此执着于他。他没有作错任何事。

Paras、Josiah和Dalton讨论了这些突袭行动,他们得出了一个极为乐观的结论:联邦调查局似乎没有对他们掌握任何东西。他们一致认为这些搜查不过是一种恐吓手段,而且已经失败了。

就在FBI搜查Paras家的同一天,Brian Krebs发表了一篇引爆性的文章,这篇文章暗示Paras很可能就是Anna-Senpai背后的真实身份,可能还有Josiah的帮助。Krebs利用自己的消息来源,拼凑出了很多和FBI相同的联系。但是Paras在回应Krebs时否认了这一指控,而且三个黑客凭借着青春的无畏傲慢,对这篇文章不屑一顾,认为它只是基于间接证据。毕竟,FBI已经出手过了,并且似乎没有获得任何可以证明他们有罪的东西。

随着时间的推移,他们还没有被捕,他们作出了一个大胆的决定:他们将继续转向点击欺诈计划。

这个新事业比Mirai赚得多得多,甚至超出了他们的想象。为了避免与他们过度曝光的僵尸网络产生联系,他们开始建立一个新的僵尸网络,这次主要针对美国的设备,考虑到他们可以通过出售对美国计算机的访问权限来生成对美国广告的点击量,从而赚取最多的钱。到了2017年春天,他们悄悄地每月获得了5万美元的收入,这些收入是通过加密货币支付的,似乎是由一位东欧的商业伙伴提供的。

Paras和Josiah大多将钱存起来,等待着一个通过合法生意洗钱的机会——尽管到那时,他们终于放弃并关掉了ProTraf。Dalton则不那么谨慎。他花了数万美元,比如为他的父母购买了一台70英寸的平板电视——他告诉他们是通过交易加密货币赚的钱——以及对他家用电脑的升级,这是一台环绕着透明冷却管的游戏桌面电脑,这些冷却管里的红色液体用来防止电脑过热,因为他要提高其性能。

即使三名黑客抛弃了Mirai,他们的代码继续困扰着全球互联网。Mirai攻击击中了英国的劳埃德银行集团和巴克莱银行,时断时续地使劳埃德离线,而巴克莱则挡住了攻击。另一次攻击以每秒约500吉比特的流量打击了利比里亚的主要移动电信提供商,使得这个西非国家的大多数互联网连接中断。

但是对于Mirai以及它众多的恶意后代来说,它们不再是创造者的问题。三个年轻人现在终于找到了他们的路子,开始投身于一种真正盈利和隐秘的网络犯罪形式。Dalton对自己做出了预测:"一年内,我们要么发财,"他思考着,"要么我们将入狱。"

几个月后,Josiah再次从Elliott Peterson那里得到消息。FBI探员请他到安克雷奇来谈谈。检察官建议进行一次逆向提供会议,他们会在那里展示对他的证据。此时的Josiah已经有了一名律师,律师建议他接受这次会面——并且不要告诉他的朋友们。这一次他没有违背建议。

2017年夏天,Josiah和他的母亲飞往安克雷奇。这是他人生中第二次坐飞机,10小时的飞行。在与检察官会面的当天早上,他穿着西装,带着几乎麻痹了的焦虑心情来到了安克雷奇司法部大楼。Peterson在那里迎接了Josiah和他的母亲,提出了一些有趣的活动建议,好像他们是来度假的一家人。

负责Mirai案件的阿拉斯加助理美国律师是一位名叫Adam Alexander的年轻检察官,他在处理暴力犯罪和儿童剥削案件上有背景。他在会议室前方的屏幕上启动了一个PowerPoint展示,首先展示了违反计算机欺诈与滥用法案的量刑指南,显示了基于造成的损害金额,监禁时间是如何递增的。

Alexander暗示,对于Josiah可能要负责的数百万美元的损害,他本次犯罪可能面临长达六年或七年的监禁时间。

亚历山大开始详细说明他们手头的证据。首先,他们掌握了他早期与Mirai扫描服务器的联系。然后,事情进一步发展:有时,Josiah在一些小但显露痕迹的地方放松了警惕,比如直接从家里的电脑检查另一台Mirai服务器的IP地址,而没有使用远程虚拟机,后者不会在他的个人电脑上留下任何痕迹。

接着,还有他在Mirai事件前关于DDoS攻击罗格斯大学网络时期,与Paras交换的短信。

有一次,Josiah给Paras写道:“你还在攻击吗?”

Paras明智地回答说:“不了,电话不安全。”但是,几分钟后,他又请求Josiah帮忙发动另一次攻击,几乎没加隐藏的信息是:“海军上将,你能执行我的命令吗?”

一个多小时后,他们休息了一下。Josiah的律师告诉他和他的母亲,他强烈建议他们寻求认罪协议,并且Josiah要与FBI合作——他“不应该逞强”。自从与Peterson首次通话以来,随着监狱多年刑期这一威胁逐渐具体化,Josiah感到非常害怕,他立刻同意了。

当他们在一个更小的视讯室重新召开会议时,Josiah 告诉 Peterson 和 Alexander,他已经准备好进行谈判达成协议了。他们回应道,他首先需要告诉他们他犯罪行为的完整真相。他们松了一口气,因为他开始详述整个 Mirai 阴谋的全部细节。FBI 特工和检察官对于 Dalton 所扮演的关键角色特别感兴趣,因为直到那时 Dalton 还不是他们调查的对象。当他们听说即便在他们突袭之后,Mirai 团队现在还在进行全新的点击欺诈僵尸网络计划时,他们感到非常惊讶。他们之前对此一无所知。

Peterson 和 Alexander 告诉 Josiah,如果他想有任何认罪的机会——仍然没有任何避免监禁的承诺——他必须完全合作。这意味着帮助收集关于他朋友们的证据。

Josiah,现在已经进入求生模式,准备好去做任何事以保持自己不用进监狱。当他飞回宾夕法尼亚时,他已经是一名联邦线人了。

dalton 和 paras 能感觉到 Josiah 行为变得很奇怪。他之前从来不会离群索居或者在技术问题上落后一步。现在,在他们的群组通话中,他变得更安静了,并会莫名其妙地要求他们详细解释他们的犯罪企业是如何运作的。

他们有所怀疑,并尽最大努力使用复杂的暗号词和假设性的语言来讨论他们的阴谋。但他们不能违背他们之间友情的不成文规定,去直面 Josiah 或者把他排除在交易之外。Dalton 说:“我们都知道出了点什么问题,但我们没有任何证据。我不想仅仅因为我有点不安就搞砸他。” 毕竟,这是他们的老朋友,传奇的 LiteSpeed,就是这个人在他们作为僵尸网络大师的职业生涯中提供了巨大帮助。

对于Josiah来说,他说自己在家族的电脑维修店工作多年,这段经历帮他为新身份——一名双重间谍做了准备。“当你在零售行业工作时,你得习惯于摆出一张面孔,”他说,“按照人们希望的方式与他们交谈。”

几周后,Paras也从Peterson那里接到了电话,他也得到了相聚在安克雷奇的邀请。Paras告诉了Dalton这个邀请——但没有告诉开始不太信任的Josiah。他们认为,让Paras去见这位联邦调查局探员,并确切了解联邦政府掌握了他们多少线索,是有意义的。

自从家中遭到突袭六个月以来,Paras一直处于否认状态,一面摆出一副挑衅的神情,一面却悄然生活在潜在的恐惧中。他的家人从未再提起他们家被联邦探员侵犯的那次创伤经历,而是假装这事从未发生过。正如Paras所说,他们“在假装过着家庭生活,但每个人的头上都悬着一片阴云。”

沉默的阴云依然存在,Paras和他的父亲飞往了安克雷奇。他们和Paras的律师一起,与Peterson和Alexander在同一个司法部的会议室见面,并且从Peterson那里得到了同样的愉快徒步旅行提示。在检察官将一件件令人难堪的证据投放到屏幕上,当着他父亲的面陈列他的罪行时,Paras努力保持着不可动摇的表情。他们向Paras展示了他与Mirai句柄和Anna-Senpai的联系,以及他的Fireswap临时账户。

然而,Paras仍在告诉自己,这个案子远非明确无误。接下来,Alexander在房间里放了一系列音频录音,是三个黑客明确讨论他们新的点击欺诈项目。有一次谈话是在Paras和Dalton喝酒放松警惕的某个夜晚进行的,尤其证据确凿。对于Paras来说,这是第一次确认Josiah的背叛。

就像对Josiah一样,会议进行了一个小时后暂停了。Paras、他的父亲和他的律师从检察官办公室走出,穿过街对面Anchorage Museum前的一片小桦树公园。天气阴冷得可怜,但Paras说他的焦虑程度已经到了一种分离感状态,几乎意识不到周围的环境。

Paras的律师跟他摊牌了:听起来他非常可能犯了之前一直向自己的律师否认的罪行。就在公园里,Paras最终崩溃了。他与父亲和律师紧紧抱团,泪水流淌着释放了他数月来压抑的羞愧、内疚和恐惧。

他要求父亲与他断绝关系,恳求他让自己独自面对自己招来的任何惩罚。他父亲的声音和Paras一样破碎:他永远做不到那样。

与此同时,他和律师都告诉Paras,现在没有其他出路了。他挽救自己的唯一机会就是做FBI和检察官要求他做的任何事情。

他们并不知情,Peterson和Alexander却已经从街对面的窗户观察着那三个人说话。从Paras的肢体语言看,他们能说他们取得了重要进展。

当Paras回到室内时,他变了一个人,防备心全无。“你现在陷进去了,Paras,”Peterson对他说。“是时候停止挖坑了。”他准备开始合作了。

Alexander问他是否告诉过任何人他要来阿拉斯加,他承认他曾经告诉了Dalton。因此,Alexander和Peterson要求Paras当场打电话给Dalton,使用免提电话,并告诉他没什么好担心的。

Paras照做了。Dalton接起了电话。FBI和检察官们围坐在桌子旁聚精会神地听着,Paras向Dalton保证一切如他们所料:联邦调查局手里并没有什么东西。

到Dalton家被突击搜查的时候,Peterson几乎就是跟他预约好的。就在敲门声响起的几周前,Yahoo错误地给Dalton发了一封信,信中说他的旧电子邮箱地址已经成为了一个法律请求的对象。信上写着,想要了解更多信息,请联系FBI特工Elliott Peterson。

所以Dalton先发制人,打电话给那个已经跟踪他们将近一年的FBI探员。Josiah和Paras扮演他们支持朋友的角色,一起在旁听。Peterson接起电话,打招呼后立即道歉:“我本来没打算这几周联系我们的。”

当Dalton声称不知道Peterson是谁,也不明白为什么他的电子邮件会被阅读时,这位FBI探员放声大笑。“我们将有个很好的机会好好聊聊,”他用平时和蔼语气中最咄咄逼人的变体说道。通话结束时,他通过确认Dalton尽管已经开始上大学,是否还住在家里,暗示如果Dalton搬到了宿舍,他不想搜查Dalton父母的房子。“我们尽量做到最小程度的侵扰。”

Dalton和Peterson挂掉电话后,对着仍在电话上的Josiah和Paras说:“那到底是什么鬼?”

“你个混蛋,”Paras回答。

接下来的三周,Dalton忍受着令人作呕的焦虑和一种“迫在眉睫”的厄运感。当联邦调查局的人终于在黎明前到来时,他说,自己其实松了口气。他们发现他只穿着拳击短裤,裹着粉红色毯子,坐在豆袋椅上看《星球大战》。

在搜查过程中,Dalton说,他的焦虑消散了——多亏了他早期的"拍死苍蝇"经历,这不是他第一次有执法人员对准他举枪——他尽力向联邦调查员们表现出他并不为所动。在FBI搜查时,他在沙发上打了个盹儿。Peterson想要对他进行讯问时,他什么也没给对方。

实际上,在联邦调查员们到达之前,Dalton有大把时间准备,他彻底摧毁了所有最敏感的硬盘。调查员发现他那台深受钟爱的水冷 PC 被拆开,它的红色冷却液像血一样洒满了他卧室的地板。他小心地将一个存放着他们从点击欺诈计划中赚取的所有比特币的硬盘藏在了一只猫粮容器里,被猫粮彻底遮住。因为容器是透明的,搜查人员没有想到去里面寻找。

就像对待Paras和Josiah一样,Peterson告诉Dalton不要告诉任何人搜查的事情。但Dalton忠诚到底,试图向Paras发送一个加密信息,告诉他自己也被突击搜查了:他在 Steam 视频游戏网络上反复切换自己账号的状态,用摩尔斯电码拼出“FBI”。

Paras看到了Dalton账号的闪烁。但他从没领会到信息。当然,即使他搞懂了,那时他已经和 FBI 合作了好几个月,收集证据来抓他的朋友。

Dalton不久后也去了安克雷奇,他和他的父母坐在那里,听着Peterson和亚历山大进行第三次也是最后一次 Mirai 的逆向陈述。在一小时令人不快的聊天记录和音频录音面前,Dalton没有露出任何情绪。但结束时,他知道再抵抗也没有用。他们已经掌握了一切。

当Dalton不情愿地同意合作时,Peterson没有要求他对Josiah和Paras保密他们的安排。这一次,他给其他两个人打了电话。他们四个加入了通话。

经过数月的偏执狂,Peterson想要澄清事实,告诉他们他们不再是互相对抗。他们现在将会一起工作。Josiah几乎像是重聚一样记得这次会面:现在他们都站在了同一阵线,再次相见。

通话中,Josiah和Paras似乎终于感到松了一口气,能够在数月的欺诈之后终于可以真诚地和Dalton交流。Dalton以一种失意的语气同意了,是的,他同意合作。他们将放弃所有黑客工具,拆除点击欺诈僵尸网络,Dalton将交出藏有他们比特币的隐藏硬盘。但Peterson记得Dalton依然保持安静和正式,似乎仍在处理被FBI逼角以及被朋友监视所带来的愤怒和羞愧。

直到几天后,Dalton回到新奥尔良的家中,他终于在深夜允许自己完全面对现实的严苛。他面临着重罪定罪。他将不得不作为联邦线人。而且他很可能还是要进监狱。这一切看起来都是无望的。

他选择打电话去倾诉这些心事的,出乎意料地,并不是Josiah或Paras,而是Peterson。他告诉FBI探员,他感到被困住了,哭着说他的生活结束了。

在接下来的一个小时里,Peterson坐在安克雷奇家中的客厅里,又回到了他“男生辅导员”的角色,安慰着并指导着最近还是他调查目标的年轻网络犯罪分子。

Peterson询问Dalton对于未来的希望——每个指导顾问都会问的“你在五年后看到自己在什么位置”的问题。Dalton坦承,在他心底隐藏的、认为网络犯罪可能是他人生唯一出路的老想法下,他还是希望有朝一日能够在技术领域拥有一份正常而成功的工作。皮特森告诉他,这仍然是可能的。

“他人真的很好,”Dalton说,“比他本该的要好得多。”

Peterson说他不能向Dalton承诺一切都会好起来。还是有可能要在监狱里度过数年的风险。尽管如此,Peterson还是向Dalton保证,他仍然可以去上大学。他仍然可以用他的才华做些有意义的事情。他的人生并没有结束。

这些年轻人的律师都已警告他们,要想有希望避免坐牢,就必须在与FBI和检察官的合作上做得超出寻常。所以,当他们再次发现自己在同一条战线上时,Josiah、Dalton和Paras就像他们曾经征服物联网时投入的那种强迫性能量一样,全身心地投入到了与执法部门的合作中。

Paras,这位Mirai的创造者,因为公布了这款僵尸网络的源代码,好比打开了潘多拉的盒子。他如今却变成了最积极地协助FBI秘密行动,打击害用Mirai代码的模仿者。因为他还掌握着Anna-Senpai这个网络身份,Paras被指派去联系一位尤为活跃的Mirai山寨版的创造者。这名山寨僵尸网络的黑客住在俄勒冈州波特兰附近。他曾经大胆地在与Anna-Senpai的聊天中透露了自己的位置,并且邀请Mirai的创造者如果有机会来镇上玩的话,就出来见面。Paras接受了他的邀请。

当时,Peterson和Alexander一直在追踪这名嫌疑人,并相信他们已经确认了他的身份。但是这个人似乎没有固定居所——看起来他有严重的吸毒问题,在与Anna-Senpai的聊天中承认使用了甲基苯丙胺——而是带着他的背包和管理僵尸网络的笔记本电脑,在城市中的各个房子里流浪。

Paras飞到波特兰后,他建议他们在他下榻的酒店见面。果不其然,那位黑客按时出现了,两位僵尸网络管理员在Paras的房间里待了几个小时,交换故事和黑客技巧,甚至还通过Skype邀请其他黑客朋友加入对话。与此同时,Peterson和其他FBI探员在走廊另一间房间里用他们不愿透露的监听技巧记录了会面。

最后,这位年轻的波特兰黑客建议他们去附近的Little Caesars吃饭。当他和Paras走出房间时,他粗心地留下了打开的笔记本电脑,甚至没关掉与黑客朋友们的视频聊天。这些朋友通过笔记本电脑的摄像头还能看到,当Peterson和另一位探员走进房间,拿走计算机作为证据时的景象。不到一小时后,探员们从酒店停车场的一辆黑色面包车中走出来,在他和Paras从午餐回来时逮捕了他们的目标。

在波特兰的那场行动之后,一些刚刚观看了酒店袭击意外直播的黑客指责Paras作为FBI的线人。但是Paras指出,这次会面根本不是他提议的——甚至连方便地出去吃比萨也不是他的主意——他辩称,可能实际上是他被设局了。

这个解释足够有说服力,以至于Paras设法进行了针对全国多个其他网络犯罪嫌疑人的后续卧底行动。他说,他并不是很享受那些行动中的角色。但他也没感到多少内疚。“我是说,老实讲,那真的很令人兴奋,”他说。“感觉就像在拍一部电影。”

FBI和司法部门拒绝分享Paras和其他两位Mirai创造者帮助他们追踪的全部调查细节。但是Peterson总结道:“我们逮捕了人,并且还处理了其他针对IoT僵尸网络的案件,我们还关闭了其他逮捕不可行的僵尸网络,”他说。“我们做了一些真正有趣的工作。”

几个月后,当他们不再进行卧底案件时,Peterson开始安排团队执行不同种类的任务,很多任务与Mirai或他们以前的接触没有直接关系。他们很高兴发现,他们不再是当线人,而是变成了Peterson的新技术分析小组。

他们开始帮助FBI特工进行工作,比如反向工程恶意软件和分析日志以识别僵尸网络的受害者。他们开发了一个软件工具,用于解析区块链追踪网络犯罪者的加密货币。2018年初,当黑客开始利用被称为Memcached的服务器软件放大他们的DDoS攻击时,Mirai团队搞清楚了如何扫描易受攻击的服务器,使得FBI能够警告服务器的所有者并帮助从互联网上移除一种新型的DDoS攻击工具。

Josiah说,在这个新角色中,他忍不住要应用他一直以来都引以为傲的技术完美主义。“我喜欢在这种事情上做得最好,”他说。“我在想,‘如果我们要做这个,它就该好用才对。’”

刚开始,Paras主要是听从律师的建议,还有为了分散由于内疚和羞愧而持续的注意力,他沉浸在Peterson交给他的任务中——即便是那些令人发怵的卧底任务。“为了阻止自己感受到这些情绪,”Paras这样说。但随着时间的推移,他发现自己能够更直面这些工作,并且甚至从现在他认为自己所做的好事中获得满足感。Peterson在阿拉斯加对他说的那句话,即他应该停止挖掘自己所处的坑洞,让他记忆犹新。为Peterson工作感觉就像是“挖掘的反面,”他说。“我想要尽可能地让现在的我和过去的我之间拉开距离。”

最终,当Mirai组织的成员在内部讨论与Peterson合作的动机时,Paras说,这超越了自私的生存本能,变成了对他们所造成的伤害的真正补偿。“就像是,好吧,我们的救赎之路是什么?”他说。“也许这是一个开始。”

当然,FBI有着长期并且不太光彩的记录,利用线人和合作的被告——他们中的许多人被置于危险的境地,被迫诱捕无辜的同伙,或者最终感到被他们的处理人遗弃或利用。三名Mirai黑客觉得他们是个例外。

随着月份的流逝,他们说,他们开始将Peterson视为一种导师。他似乎真的关心他们的未来。他们感到,当初追捕他们时他所展现的那种奇怪的友好,并不是敌意的掩饰,而是他人性的真实表达。“我们非常幸运遇到了Elliott,”Dalton说。“他确实救了我的命。”

美国刑事司法系统对黑客颁下苛刻的刑罚历史悠久。2010年,Albert Gonzalez因从零售商网络中盗取数千万张借记卡和信用卡号,在二十多岁时被判处20年监禁。2017年,俄罗斯网络罪犯Roman Seleznev因大规模盗取信用卡数据,在马尔代夫机场度假时被捕,并被判27年监禁。即便是Hector Monsegur,这位LulzSec破坏性黑客组织的前台人物,在成为联邦线人并合作超过两年后,也被监禁了七个月——比他在英国告发的LulzSec其它成员要长。

因此,当检察官在Mirai案件中请求法官判处其创造者总计零天监禁时,几乎是一种激进的行为。Mirai是一个引发数次史上最大网络攻击的僵尸网络。Adam Alexander,这位阿拉斯加的助理美国检察官,通过PPT充满证据的呈现,说服三名黑客合作,他解释说,他的决定部分基于他们中没有人有前科或者药物滥用问题,可能会让他们重新犯罪。与许多被告不同,他们有着强大的家庭支持网络来对他们进行约束。最重要的是,到了2018年秋季他们接受审判之际,他们已为Elloitt Peterson完成了超过一千小时的工作,Alexander在给法官的信中描述这是“广泛而卓越”的合作。“他们有点痛快地愿意破坏互联网,”Alexander说。“但把这三个年轻人分别关进监狱18到36个月,然后我们再洗手不管,真的能更有意义地确保我们能防止未来的犯罪行为吗?我当时并不这么认为,今天我依然如此。”

取而代之的是,他请求法院判处Josiah, Dalton, 和 Paras 在接下来的五年中各完成2500小时的社区服务。他们将在同一位在他们宣判前合作期间监督他们的FBI探员——Elloitt Peterson的指导下开展这些工作。

在一个安克雷奇的法庭上,在Mirai摧毁了Brian Krebs的网站大约两年后,法官向这三个21到22岁的年轻人宣布了这个判决——社区服务,没有监禁时间,以及每人11.5万到12.7万美元的赔偿金欠款。“你们年轻,可以为社会作出很多贡献……你们有很多才能和技能,”法官在那个秋日的安克雷奇法庭对三人说。“我希望你们将其用于善良事业。”(Paras因为对罗格斯大学的攻击在新泽西州面临单独的指控,那里的检察官强烈主张他应该服刑。Alexander采取了干预措施,反驳说Paras在阿拉斯加与检察官和FBI的合作应该被计入他在那个案件中的判决。新泽西的法官最终同意了,判处Paras额外支付近900万美元的赔偿金,以及在父母家中限制自由六个月,但没有监狱时间。)

Peterson再次来到阿拉斯加时,提议了一些当地的活动,这次Mirai团队实际上接受了他的建议。那天晚上,他们一起去了当地的一家独立剧场餐厅,也就是Bear Tooth Grill,边享受美食边观看了一部关于谷歌的围棋人工智能的纪录片——只不过是一些臭名昭著的黑客和追捕他们的FBI探员一起去吃晚饭和看电影而已。

进入五年社区服务工期不久后,Peterson说他开始感觉到他的三个不太可能的门徒开始超越他——也就是说,他找不到足够有技术含量的任务去挑战他们的才华。因此,他询问了他与Allison Nixon共同创立的反DDoS组织Big Pipes里是否有人有适合他们的工作。Nixon举手表示她有工作可以让他们做。

当Peterson最初开始监督“那几个孩子”——在Big Pipes内部,人们这么称呼他们时,Nixon不想和他们有任何瓜葛。她在Hack Forums的污水坑里潜伏足够久,对那里自由流动的恶毒行为感到熟悉,自己甚至还曾遭到一些Mirai团队旧伙伴的个人骚扰。“他们不是好人,”她谈到那个圈子时说,“你不会希望他们知道你的名字。”

但在见证Peterson与Paras、Josiah和Dalton合作一年多,并且仍然愿意为他们背书后,她决定冒一次险,在视频通话中与他们会面。她发现这三个年轻的黑客——包括那个臭名昭著的Josiah “LiteSpeed” White,她几乎追踪了他的整个职业生涯——都很有礼貌,迫切希望得到她的认可。

实际上,她确实需要他们的编程帮助:她想出了一种新型的诱饵系统,比她的“悲伤的DVR”要灵活得多。她想创建一个系统,安全研究人员或分析师可以在一个虚拟环境中加载任何互联网物联网设备的固件,以捕捉新的恶意软件变种。

他们共同创建的工具被称为Watchtower。它使用了一种较新的技术,即QEMU容器化技术,来快速启动隔离的、完整的DVR仿真环境,等待被感染。Mirai团队设计的物联网恶意软件可以检测到它是否加载在一个设备的软件仿真环境而不是真实设备上,并会终止自己的进程,以免给研究人员提供任何信息。但是Watchtower的诱饵系统被设计成在恶意软件能检查的每一个方面都像真实设备一样——一个无缝的、虚拟的全景监狱,在这里可以观察恶意软件并截取其控制者的命令。

“做得非常精巧,”Akamai的安全研究员Larry Cashdollar说,公司使用Watchtower获取并分析了无数新的物联网恶意软件样本。最终,Nixon和她的Mirai团队加入了其他研究人员和她所在的Big Pipes DDoS工作组成员贡献的数据,包括用作反射攻击诱饵的设备和用于识别目标域名的DNS数据,将所有这些数据整合到实时DDoS分析仪表板中。到了2020年,他们增加了一个域关键词列表,以识别针对政治或投票系统目标的攻击,这个工具的结果被用来监控那一年选举期间的DDoS攻击——帮助他们为安全社区仍担心的可能破坏民主的“大型攻击”做好准备。

至于Brian Krebs,在得知三名Mirai创作者逃脱了监禁时间,现在基本上作为白帽安全研究员工作时,他最初对他所看到的缺乏问责感到不安。

“相信这个过程,”他记得Nixon告诉他。

“什么过程?”Krebs说他反问。“在我看来,这不像是正义。”

但随着时间的推移,他持续从Nixon和其他人那里了解到Paras、Josiah和Dalton的出色表现,他说自己的想法慢慢改变了。“当我能听到一些他们想出的点子时,我感到很鼓舞,”他说。“我猜这是所有可能结果中最好的。”

当Nixon从Flashpoint转到新的安全公司Unit 221B工作时,她游说公司雇佣她的Watchtower团队。那时,Paras已经找到一份为半导体公司编写代码的工作。但Josiah和Dalton都开始全职为Nixon工作,成为安全研究员,并且在合同基础上,还要兼顾他们的社区服务工作。

当然,即便Mirai团队加入了合法的安全行业,他们现在用Watchtower监控的许多新的僵尸网络实际上是他们自己创造的那个怪物的变种。正如Josiah之前的Qbot代码一样,Mirai成了任何试图建立自己庞大的黑客机器集群的人最好、最干净的代码基础,各种数字不法分子继续拆解它,重新利用其组件制造破坏。“现在到处都有Mirai的碎片,”Akamai的安全研究员Chad Seaman说,他是Big Pipes工作组的早期成员之一。

Seaman说,公司仍然面临来自Mirai后代的几乎持续不断的攻击。因为那些僵尸网络通常仍在争夺同样广泛但分散的易受攻击的物联网设备的控制权,它们都没有原版的Mirai那么大。也没有任何一个Mirai的后代再次像Mirai那样让防御者措手不及。

但他们的攻击依然困扰着互联网,导致公司每年要支付数百万美元的DDoS防护费用。Akamai的Seaman总结道:“纵火犯已经翻开了新的一页,但野火仍在猛烈燃烧。”


尾声


在康涅狄格州的家中坐着,目睹自己的数字生活轰然崩塌之后的几年时间里,Scott Shapiro变成了一种Mirai痴迷者。这位耶鲁大学法学院的教授最终阅读了Paras在Hack Forums上发布的源代码,他把代码打印出来,仔细研究其机制,并对它的精良设计感到惊叹。多年后,他会把Mirai案例写进自己的书《Fancy Bear Goes Phishing》中,该书通过一系列非凡的黑客事件讲述了互联网的历史。

Shapiro现在认为,Mirai案例是网络犯罪法中实际恢复性正义的罕见典范。他认为,这显示了一个积极的替代方案,不必总是将年轻黑客投入监狱,尤其是在很多情况下,他们在线上的行为与现实世界的自我形象有如此强烈的对比。的确,互联网可以诱导善良的人做出坏事。但也许它创造的分裂人格同样在现实世界中留下了更多的救赎空间。或许这甚至意味着更多像Mirai团队一样的网络罪犯可以被改造,并致力于修复他们造成的问题。“这是一个实验。结果非常成功,”Shapiro说。“我希望能看到更多这样的例子。”

2021年12月初的一个下午,距离Mirai创造者们五年监禁期还有三年,Shapiro邀请了Josiah、Paras、Dalton以及Elliott Peterson通过Zoom向他在耶鲁的网络安全法课程的学生们演讲。这将是除了法庭之外,他们四人首次在半公开的场合一起露面。

起初,Peterson做了大部分的讲话,他在一次45分钟的报告中讲述了案件的故事和他的调查。然后他结束了报告,小组开始回答学生的问题。

有人问这群没有犯罪记录的年轻人是如何为自己执行这些史诗级的数字破坏行为辩解的。Paras代表他们所有人解释说,一切都是如此逐步发展的,从控制数百台被黑的电脑逐渐升级到数千台,再到数十万台,却没有人告诉他们该在哪里画界限。“从来没有跳跃,”他说。“只是一步接着一步。”

另一名学生问他们是如何能长时间持续下去的——即使在被FBI搜查之后,他们怎么还相信自己能逃脱。这一次是Dalton作答,克服了在人群前讲话的焦虑,部分得益于更好的治疗帮助他缓解了口吃。他向班上解释说,他们从未遇到过不能克服的黑客生涯障碍——就像那些没有经历衰老或死亡、因此相信自己会永生的青少年一样,他们开始感到几乎是不可战胜的。

在整个报告过程中,Shapiro表示,他被这三位Mirai的创造者的青涩紧张感所震撼,并且即使在他们发言的时候,他们也从未打开网络摄像头。他曾经坚信一定是俄罗斯人的黑客威胁,在他心中显得如此庞大、如此强大,但现在他意识到,原来不过是这些“小男孩”。他说:“不想露脸的小男孩。”

Paras后来向我解释说,他并不是真的想隐瞒身份。他只是不想再让自己的面孔与Mirai联系在一起。自从那之后,他减掉了30多磅,放弃了眼镜,留起了整齐的胡子;他更愿意让老样子——在Brian Krebs关于Anna-Senpai的报道中那个胖乎乎、带眼镜的孩子的形象和Mirai联系起来。

截至10月底,那三位Mirai黑客的缓刑期都已经结束。Paras Jha和Josiah White在一家高频率金融交易公司共事。Dalton Norman仍然在Allison Nixon的Unit 221B工作。但他们都计划继续维护和更新Watchtower,这可能是他们为了弥补一些他们曾造成的损害作出的最持久的贡献。

“我很感激有机会尝试把精灵重新装回瓶子里,”Josiah说。

他也承认这可能是不可能的。即便是现在,他、Dalton和Paras都知道,他们构建的怪物的碎片仍然在互联网上游荡。Mirai已经不再是来源于未来的东西。相反,它倔强地残留在过去。有一天,他们希望能把它留在那里。

(全文完)

本文英文原文发表于Wired杂志2023年12月/2024年1月刊。现在就订阅Wired杂志。

如果你对本文有什么看法,请向编辑提交意见信,邮箱地址是mail@wired.com

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2