长亭百川云 - 文章详情

Mirai的自白:三名年轻黑客如何打造了一个摧毁网络的怪兽(一)

网安志异

58

2024-07-13

对于数百万人来说,Netflix、Spotify、Twitter、PayPal、Slack全都瘫痪了。一群青少年朋友是如何深陷网络犯罪的黑暗世界并击垮了互联网——之后又为FBI工作的。

https://www.wired.com/story/mirai-untold-story-three-young-hackers-web-killing-monster/

2016年10月21日清晨,Scott Shapiro从床上爬起来,打开他的戴尔笔记本电脑,想要浏览当天的新闻,却发现互联网瘫痪了。

不是他的互联网——起初Shapiro是这么认为的,当他反复检查自己电脑的Wi-Fi连接和路由器时。而是整个互联网。

《纽约时报》的网站无法访问,Twitter也是。《卫报》、《华尔街日报》、CNN、BBC和福克斯新闻的网站也都下线了。(连WIRED也是。)当Twitter间歇性地恢复线上服务时,用户们列出了一系列令人不安、数量未知的其他数字服务也成为了停机的受害者。亚马逊、Spotify、Reddit、PayPal、Airbnb、Slack、SoundCloud、HBO和Netflix等网站,在美国东海岸以及国家的其他地区都在不同程度上受到了瘫痪。

Shapiro是耶鲁法学院一位在网络上非常活跃的教授,那一年他正在教授一门有关网络冲突的新课程,对于这次网络中断他感到深深的迷惘和孤立。美国历史上史无前例的总统选举即将在不到三周的时间里拉开帷幕。似乎“十月惊喜”接连不断:就在那个月早些时候,美国情报机构联合宣布,民主党全国委员会和希拉里·克林顿总统竞选团队的网络入侵事件实际上是由俄罗斯政府实施的。与此同时,朱利安·阿桑奇的维基解密一直在发布这些黑客泄露的电子邮件,不停地爆出丑闻性的头条新闻。受到惊吓的网络安全分析师们担心,一场更具决定性的网络攻击可能会在选举日当天发生,将国家推向混乱。

这些焦虑在一个月前就被一篇博文极度激化了,文章由著名的密码学家和安全专家Bruce Schneier所写,标题为《有人正在学习如何摧毁互联网》。

Schneier是网络安全界最受尊敬的声音之一,他警告说:“过去一两年里,有人一直在探测那些运营着互联网关键部分的公司的防御能力。”他描述了一个未知力量似乎不断地用前所未有的规模对关键基础设施发动恶意流量攻击。“这些探测呈现为精确校准的攻击,旨在确定这些公司能多好地防御自己,以及摧毁它们需要什么。我们不知道是谁在做这个,但感觉像是一个大国做的。我的第一猜测是中国或俄罗斯。”

现在,Shapiro感觉到Schneier的警告如期成真了。“这就是那次攻击,”他记得自己是这么想的。他问自己,这是“大事件”吗?或者这只是为了测试真正的“大事件”?那场大攻击会在11月8日打击我们吗?“显然,这得是个国家行动,”Shapiro想,“一定是俄罗斯人。”

对Shapiro来说,互联网宕机是一个转折点:在接下来的几个月和几年里,他会变得痴迷于试图了解是谁可以简单地熄灭世界上这么大的数字连接区域,是谁会做这种事情,以及为什么。但与此同时,距离Shapiro康涅狄格州的家不到500英里西边,在宾夕法尼亚州华盛顿市,另一位观察家也在关注着这场攻击的进展。

19岁的Josiah White在典型的一个不眠之夜后,坐在他在一个杂乱的地下室储物区(和他的兄弟共用一个卧室)的工作台上设置的三台平板显示器前发呆。他被计算机设备——旧硬盘和他答应要修的朋友的桌面机——以及他家的玩具和圣诞树装饰盒包围着。

数周以来,他和两位年轻的朋友Paras Jha和Dalton Norman一起打造的网络武器在互联网上造成了严重破坏,一次又一次前所未有地攻击受害者,使他们离线。随着损害的增加,Josiah已经习惯了刺激、焦虑、内疚、感到一切变得荒唐至极——还有他现在可能正被全世界的执法机构追捕这个念头。

他已经到达了一种麻木状态,即使在阅读Bruce Schneier关于末日的博文并明白它在描述自己的作品时,他仍然麻木——即使现是白宫新闻秘书正在一个直播的新闻发布会上向记者保证,国土安全部正在调查直接由他的行动引起的大面积宕机。

但Josiah记得感到的最主要的还是敬畏——对他和朋友们释放的那个弗兰肯斯坦怪物的规模和混乱力量感到敬畏。对它已经彻底脱离他们控制的敬畏。对三个年轻的黑客在一阵青少年的情绪、心血来潮、竞争、理由和错误中创建的东西,竟然能够动摇互联网的根基感到敬畏。这个东西叫做Mirai。

第一部分

创建Mirai的三个年轻人都不符合网络犯罪分子的特征,尤其是Josiah White,他或许是最可以直接宣称为其发明者的人。Josiah在匹兹堡南方一小时车程的一个农村县成长。他是一个关系紧密的基督教家庭中四个孩子中的最小的一个,他们全都接受家庭教育,正如他母亲所说,这样做是为了更好地“发现上帝如何创造了他们,以及他创造他们去追求什么。”她形容这个家庭中瘦小、头发深色的幼子是一个固执又独立但异常善良的孩子,他会在主日学校坐在新孩子旁边,让他们感到受欢迎。

Josiah的父亲是一位转行成为保险销售员的工程师,全家人住在一个被森林和农田包围的待修缮的房子里。在Josiah记忆中,他最早的记忆就是跟着父亲在家里面到处修缮东西。2002年,他5岁的时候,Josiah非常高兴地在圣诞节收到了一套电源插座的组件。后来,他的父母给了他一本叫做《101个电子项目》的书,他还会央求母亲开车带他去RadioShack,手上拿着一张购物清单,清单上全是面包板元件。在他还不到10岁的时候,他就已经在指导父亲如何接线三向开关。

Josiah的父亲会带他去参加教堂的“汽车事工”,在那里,他们会免费修理教友们的汽车,以及为传教士翻新捐赠的车辆。Josiah会站在车间的角落里,等待领班给他分配任务,比如重新组装汽车的破水泵。

Josiah总是喜欢用他的技术能力来给大人们留下深刻印象。但他总是被电脑所吸引,电脑比任何汽车组件都要干净和更有逻辑性。“你给它输入,就会得到输出。”他说,“这是让我感到更有控制感的东西。”经过多年争取在家中的电脑前使用的时间后,接近他13岁生日时,他终于拥有了自己的电脑,一台装有Pentium III处理器的塔式机。

大约在同一时间,比Josiah大七岁的哥哥弄清楚了如何重新编程手机,使它们可以从一个电话运营商转移到另一个运营商。Josiah的哥哥开始以此作为一项服务,并很快这项服务就变得非常受欢迎,以至于他们的父亲用它来开办了一家电脑修理店。

到了15岁,Josiah放学后会在家里的店里工作,为顾客设置Windows并在他们的机器上安装防病毒软件。从这里,他开始对HTML如何运作感到好奇,然后开始自学编程,后来开始探索网页托管和网络协议,并学习Visual Basic。

Josiah的童年虽然充满正能量,但他有时会感觉自己生活在固定轨道上,像他自己说的那样,生活几乎被安排得滴水不漏,从家庭教育到教堂,再到家族电脑店。然而,真正让他觉得不自在的规则是他母亲设立的限制他使用电脑的时间,或者强迫他通过学校作业和家务劳动来赚取上网权限。最终,他在这些问题上让她妥协了。“我有点把她累垮了,”他说。部分原因是因为对电脑细节的亲手了解很快就成为了家族生意的重要一环。现在Josiah拥有了几乎无限的电脑时间,他梦想着有一天能像他哥哥那样利用自己的技能开创自己的事业。

实际上,像他这个年纪的大多数孩子一样,Josiah在键盘前的大部分时间都花在了游戏上。其中一个游戏叫做Uplink。在这款游戏中,主人公是一名自由职业的黑客,可以在两个在线对立的运动之间做出选择,每个运动都制造了一种强大的自传播代码。一个黑客组织计划利用它的创造物摧毁互联网。另一个则致力于阻止他们。Josiah,这种不走折中路线的孩子,在游戏中分别代表两方玩了一遍。

他沉浸在那种赛博朋克模拟游戏中——了解了像苹果公司联合创始人Steve Wozniak和在20世纪90年代与FBI展开猫捉老鼠游戏并成功逃脱的Kevin Mitnick等著名黑客——在Josiah青少年时期的思维中培养了一种黑客作为一种秘密的、反文化的技艺的观念。技术系统的理解挑战甚至比设计者还要深入,这一点吸引了他。对于一个有着严格基督教父母的青少年来说,它所提供的颠覆性、探索性的自由也同样吸引了他。当他在谷歌上搜索一些黑客术语以了解更多知识时,他最终登陆了一个名为Hack Forums的网站,那里是年轻数字不适者的自由竞技场:无辜的探险者、想要成名者和彻头彻尾的不良分子都在争夺影响力和金钱。

在2011年的互联网上,每个未经熟练训练的黑客手册中最基本的把戏是拒绝服务攻击(denial-of-service attack),这是一种利用互联网一种永恒、基本限制的蛮力技术:编写一个程序,向一个连接互联网的电脑发送足够多的垃圾数据,你就能使它离线。

例如,前一年,黑客团体匿名者(Anonymous)因为Visa、Mastercard、PayPal和Bank of America拒绝允许捐款给WikiLeaks,便鼓励其追随者以数据请求轰炸公司服务器,制造所谓的分布式拒绝服务攻击(distributed denial-of-service attacks),这使得公司的在线服务短暂中断。但大多数DDoS攻击的原则要少得多:这是网络犯罪互联网内部战争和破坏活动中的常态AK-47交叉火力。

在Hack Forums上,许多黑客运营着自己的“booter”服务。仅需支付几美元一个月,就可以发动拒绝服务攻击针对客户选择的任何对象——通常是在线游戏服务,以此来恶搞或破坏竞争对手玩家。booter的用户和管理员谈论“击落”目标时,语气轻松,或者更糟的是谈论“持续打压”某个服务或某个用户的连接,不断轰炸以防止其重新上线。

有些booter从僵尸网络发起攻击,这些网络由成千上万无意中的用户电脑组成,电脑上悄无声息地植入了恶意软件,使这些机器形成一群无脑的虚拟群体,向目标猛烈地投送数据。其他booter使用“反射”或“放大”攻击:如果黑客能发现一个在线服务,对其查询质询,服务端会返回一个比请求本身更大的数据块,他们就可以伪造查询的来源,使得服务向黑客选择的受害者发送答复。通过从一个服务器反弹成千上万个查询,黑客能用服务器的响应向受害者发起轰炸,极大地增强攻击力。

Josiah对这些诡计的巧妙之处着迷,自然决心要深入理解它们。他偶然发现了一位网络安全博客作者描述的利用在线第一人称射击游戏Quake III Arena的服务器来进行反射攻击的博文。向它们发送一个简单的“getinfo”或“getstatus”请求,服务器就会返回包括玩家用户名和他们正在游戏中的地图信息——一个答案,几乎是请求的10倍大,可被定向到黑客选择的任何伪造IP地址。

博文是作为警告发布的。它警示说,这种攻击可以用来压垮高达23兆比特每秒带宽的服务,对于Josiah来说,在他家里1.5兆比特每秒DSL连接上,这样的带宽看起来是巨大的。博文作者写道,一个有能力的程序员利用这个漏洞,“可以在一个懒散的下午轻松创建一整套攻击工具。”

Josiah把这当作一个挑战。他草拟了一个简单的脚本来执行这次攻击,并以他的网名“Ohnoes1479”将其发布到Hack Forums。他仅仅请求使用它的人如果觉得“好用✌”就对他进行点赞,以提高他在论坛个人资料的声誉。

Josiah并没有太过深入考虑他创造物的道德问题。毕竟,它只是暂时让一台电脑断网,对吧?他认为,这更像是一场淘气的小插曲而不是犯罪。反正他自己也无法使用它,因为他家的网络连接不允许攻击需要的IP伪装。尽管如此,论坛上的其他黑客——他怀疑其中一些人自己就在运营booter服务——询问如何使用这个程序甚至要求更新功能时,他还是很乐意提供帮助。

大多数时候,就像他曾在教堂的汽车修理店里表现出的技术奇才一样,他的目标是为了给人留下深刻印象。“我想要做出一些很酷的东西,”他说,“我也想要得到尊重。”

在那个无政府状态的Hack Forums场景中,Josiah很快找到了一个志同道合的伙伴,一个自称“moldjelly”的用户。在现实世界中,他的名字是Dalton Norman。他是一位比Josiah大一岁的青少年黑客,与他相比,Dalton更加接触自己的叛逆一面。

和Josiah一样,Dalton也是在一位工程师父亲的影响下长大的。他的父亲领导着新奥尔良一座摩天大楼的维护团队,他们一家也住在那里。就像Josiah一样,Dalton有着天生的技术才能。他在十来岁的时候就编写了视频游戏作弊模块,并用尚未变声的嗓音在自己的YouTube频道上展示。他和父亲会利用业余时间来改装父亲那辆动力十足的Chevrolet Monte Carlo车,Dalton记得这车加速时车身扭曲的感觉。他说他继承了父亲把技术推向极限的驱动力。

但是,Dalton的童年比Josiah更多地染上了逆境的色彩。作为一个年幼的孩子,他曾为了结巴而备受折磨,这让他深感创伤。他记得他的家人在餐桌上嘲笑他,当他努力想要正确发出他妹妹的名字时。“那真的很糟糕,这也让我更愿意呆在自己的房间里,自尊心低落,试图通过精通某件事来提高自尊心,”Dalton说。

读小学的最后几年,Dalton 终于如释重负,他的口吃消失了。但就在他似乎能享受正常青春期的时候,他的生活因为更大规模的不幸而被打乱:飓风 Katrina。Dalton 的家人撤离到了密西西比州,并且五年多都没有返回。在隔壁州的流离失所中,Dalton 发现自己上了一所“像邪教一样”的基督教私立学校,在那儿,学生们要在开始上课前祈祷,他记得有一个数学老师向他保证 Barack Obama 就是敌基督。“当我不祈祷或不做那些事情的时候,”他说,“我会因此受到责备。”

Dalton 在12岁时编写了他的第一个程序。那是一个垃圾邮件工具,他用它来折磨自己不喜欢的老师,弄得她的收件箱一片混乱。他说不久之后,他就执行了他的首个服务拒绝攻击,目标是他所在学校的网络系统。

在连接到学校的 Wi-Fi 时,他用无用请求淹没了它的路由器,直到整个内网系统崩溃。“当你在内部时,摧毁一个网络太容易了,”他说。讽刺的是,正如 Dalton 所描述的,他在 IT 方面的知识声望足够高,以至于学校的工作人员请求他帮忙解决问题。他停止了攻击脚本,拔掉了路由器的插头,再插回去,然后向学校管理员展示它神奇地又能工作了。然而,在另一次攻击中,他说他让路由器在通风不良的小橱里过热,以至于彻底烧坏了。

在他十几岁的早期,他记得自己看了电影《社交网络》,并从中得到了完全错误的信息:Dalton 并没有由于电影虚构的马克·扎克伯格冷酷无情的起源故事而感到警惕,反而深受启发。“那部电影基本上改变了我看待世界的方式,”他说。“就像,有了笔记本电脑和一个好主意,你就能掌控自己的生活,并且创造一些酷炫的东西。”

在试图创建他自己的社交网络失败后——他不知道如何吸引用户,也没有预算来做广告——他回到了黑客活动:他编写了一个键盘记录程序,旨在通过 USB 闪存感染受害者的电脑后窃取他们的按键操作。他还找到了自己的方式进入了 Hack Forums。不久后,他开始运营自己的启动服务(booter service),雇佣其他黑客处理客户服务,这样他就能专注于寻找新方法来放大他的攻击流量。

大概是在这个时候,Dalton遇到了Josiah,他说他是自己遇到的最聪明的黑客。很快两个青少年就离开了黑客论坛(Hack Forums),开始在Skype上常常交谈,后来又转移到了另一种网络会议服务TeamSpeak。在这些对话中,Dalton最终使用了他真实的名字,而Josiah则用“Joey”这个名字,一个稍加掩饰的假名。他们喜欢相互竞争,寻找新的DOS放大技巧。在这种友好的竞争中,他们会熬夜到凌晨,搜寻互联网上能让他们的攻击流量成倍甚至成百倍增加的特殊服务器。

在那些深夜的网络攻击时刻,两个黑客说,他们通常会建立自己的网站作为实践目标,或者使用朋友的网站,以便测量他们对其进行的流量攻击有多大。他们说,有时他们能发起每秒超过100吉比特的攻击——比最初让Josiah震惊的23兆比特攻击大了4000多倍。他们很多时候会使目标网站离线,以及使托管该网站的服务器离线,导致无数其他网站也停机。

Josiah承认,他那时已经对他们学会使用的工具的威力感到有点陶醉,虽然他仍然认为自己是一种无辜、探索性的黑客。“我那时候很蠢,有时候也很生气,我想看到破坏,”他说。“但这不是我的主要动机——至少有一段时间不是。”

Dalton已经在经营一项盈利的攻击服务,他没有无辜的错觉,并且有点自豪地承认,他对任何在黑客论坛上足够惹恼他的对手使用了他不断增长的助攻武库。他自夸,在某些情况下,他会“狠狠地击退人们”,以至于受害者的网络服务提供商为了避免进一步的附带损害,会切断受害者的连接24小时。“这是很大的权力,”他说。“如果有人欺负人或者表现得很讨厌,那么是的,他们会在离线一段时间。”

这两个青少年都设法将这些非法黑客行为对他们家庭隐瞒起来。但对于Dalton来说,后果很快就暴力地波及到了他的现实世界。

这件事的起因是他发现为他的booter工作的一个年龄较大的小伙子,一个他愚蠢地告诉了自己真名的人,竟然在偷他们的利润。他解雇了那个家伙。几天后,Dalton 和他的家人正坐在餐桌边吃饭时,一群身穿防弹背心的警察冲破门进来,对所有人大喊着要他们趴到地上。警察用霰弹枪指着Dalton和他那害怕得发抖的父母及兄弟姐妹,吼叫着发出命令和提问。

原来警方收到了一个伪造的911电话。来电者警告说Dalton打了他的母亲,现在正在挟持其他家人。Dalton遭到了所谓的“抓捕改装”,这是愤世嫉俗的青少年黑客工具箱里最危险的报复手段。当警察意识到没有人质危机时,Dalton向警察和他的父母解释说,一个生气的网上小伙子把他们置于这种境地——但他隐瞒了有关他的启动服务的事情。作为他青少年大脑错误风险评估的一个措施,整个事件中他最害怕的是他愤怒的父母将如何惩罚他。他被禁足了。

Dalton说,他从这次事件中真正学到的教训是加强运营安全,不再在黑客界告诉任何人他的真实姓名——除了Josiah。“除了Joey,我谁都不信任,”他说。

在这一切发生的同时,当Dalton 15岁时,又一场灾难降临:他的口吃又回来了。他说,这是因为他在高中遇到了另一个口吃的人。不知怎的,这件事触发了他的大脑,使他的言语再次开始出现障碍。而且这种变化似乎是永久性的。所有他小时候说话困难的经历,以及随之而来的所有焦虑和羞耻,都回来了。他说,那是“一场噩梦”。

像许多口吃患者一样,Dalton发现了绕开那些会让他说话停顿的随意词汇的办法,用其他词语代替来隐藏他的障碍。但名字尤其难以处理,因为它们不允许替换。有一次,为了逃避体育课,他自愿在高中的技术办公室帮忙,而这项工作包括给学生递送笔记本电脑。他记得自己站在教室前,试图说出一个学生的名字,而整个班级都在嘲笑他。就连他自己的名字有时也说不出来。“这让我崩溃了,”他说。“但事后,我就想,‘我不在乎其他人怎么想。去他的。’”

Dalton说,他的口吃把他推向了网络犯罪的怀抱,并在其中找到了新的热情。他切断了与现实世界朋友的联系,退缩到电脑前,将精力集中在黑客活动上。他那扭曲的少年逻辑再次发挥作用,告诉他放弃正常生活或合法职业的任何希望。“我想,‘没人会雇佣我,因为我说不出话。我怎么可能通过面试呢?我连自己的名字都说不清楚。’”Dalton记得自己是这么想的。

他告诉自己,别无选择。“我必须找到办法,让这个黑帽子之路走通。”

Paras Jha是三位年轻的黑客中的一个,他们共同负责了历史上最大规模的DDoS攻击,他之所以走上这条路,来自最纯真和孩子气的地方:热爱《我的世界》(Minecraft)。

Paras出生在孟买,家人移民到美国时他还不到一岁,他们最终定居在新泽西中部附近。Paras的父母要求学业上的完美,Paras也确实有足够的天赋来轻松做到这一点。实际上,做得太轻松了:他说,在小学和初中的多年里,他总是一拿到教科书就把它们读完,然后再也不复习,每次考试都能得高分。

与此同时,Paras意识到自己存在着一个矛盾的问题,那就是注意力集中。他记得自己在三年级的时候,一位老师跟他说话时,他会分心,用手指在空中勾勒出老师的脸。这位老师后来建议Paras的父母让他去测试是否存在注意力缺陷障碍。Paras说,来自一个将这样的诊断视为耻辱的文化,他的家人对老师的警告持怀疑态度。他的父母填写了学校的学习障碍评估表,结果是阴性的,他也没有接受治疗。

在Skype上,Josiah告诉其他人他要发起攻击。在互联网上,Paras能听到Josiah键盘上敲击回车键的声音。然后,世界静止了。

随着岁月的流逝,Paras渐渐忘记了学校的作业,他严格的父母会以禁闭他作为回应。为了打发时间,他开始对电脑产生了浓厚的兴趣。在工作日,他心爱的电子游戏是被禁止的,所以他会花上几个小时玩弄微软的Visual Studio,自学编程。

到了高中的早期,Paras已经对Minecraft这个沉浸式的在线世界上瘾了,这个游戏基本上展现了一个方块状、低分辨率、几乎无限的元宇宙。然而,Paras更被在线服务器上运行自己的Minecraft世界的可能性所吸引。他会举办追捕或夺旗的小游戏,不断地调整他的服务器代码来修改规则。他喜欢进入自己的世界,让自己变得隐形,然后观察玩家在他控制并随意改变的宇宙中的反应。这就像是观察带有人类智慧的8位像素蚂蚁在他自己的蚂蚁农场里活动。

不久,Paras发现自己可以通过为其他Minecraft管理员编写修改和小游戏来赚取成千上万的美元。事实上,Minecraft生态系统支持着一个出乎意料的高风险行业。玩家为进入他们最喜欢的服务器上的特权和升级支付少量费用,而这个去中心化元宇宙中最受欢迎的世界的管理员每年的收入高达六位数。所有这些金钱意味着这个看似纯真的行业发展出了一个出乎意料的无情阴暗面。Minecraft服务器经常遭受因不满的玩家、竞争对手和恶作剧者发起的booter攻击(booters' DDoS attacks)的围攻。许多人每个月支付数千美元给DDoS保护公司,承诺过滤或吸收攻击流量。

某一天,Paras在Skype的群聊里与一位也运营Minecraft服务器的熟人聊天。这个人出于某些Paras不再记得的原因,决心摧毁一个特定竞争对手的世界。Paras看着这位熟人请求聊天中另一个成员的帮助——一个叫LiteSpeed的人物,因为他的拒绝服务(denial-of-service)技艺而获得了某种声名。

Josiah在加入Hack Forums大约九个月后,把他的用户名从Ohnoes1479更改为一个不那么可爱的名字,而且现在他在网上的表现带有明显更多的自信。他很乐意配合。

Josiah、Paras和一些朋友都进入了目标的Minecraft世界,出现在一个由成百上千其他玩家的低分辨率人物组成的方块景观中。然后他们通过Skype进行语音聊天,Josiah告诉其他人他要开始攻击了。

服务器被Josiah搞离线后托管的宇宙并没有变黑或返回错误信息,而是简单地卡住了,因为每个玩家都突然断线,并被困在了他们各自电脑上破碎的世界版本中。Paras对他能在那个世界里移动,并看到其他玩家在原地被定住,或在空中悬浮,感到惊奇。

那种冻结状态持续了30秒,然后那个世界彻底崩溃了。对Paras来说,这就像一个有趣的魔术。“感觉就像是一种秘密的超能力,”他说。“虽然不是我做的,但只是知道发生了什么,感觉就很酷。”

他与Josiah关系变得友好,并发现这位才华横溢的黑客愿意下手攻击几乎任何Paras要求的目标服务器,主要就是为了纯粹的娱乐。Josiah还似乎非常乐于分享他的知识。他已经不再使用他和Dalton早期尝试的放大攻击,Josiah现在用他自己的恶意软件感染了互联网上成千上万的电脑,通过利用web托管软件phpMyAdmin中的安全漏洞,将底层服务器变为了他个人的军队。

后来,Josiah转而使用了一系列更为强大的Supermicro服务器,这是他通过在服务器的底板管理控制器中发现的一个漏洞所黑进的。这些芯片原本是用来允许管理员远程连接服务器并监控其性能的。他触发的攻击很快就变得强大到了他和他的朋友们甚至很难衡量其力度:他们用它攻击的所有东西——那些受到最好保护的Minecraft服务器,甚至他们自己的测量工具——都会立即离线。

Paras也想要这种超能力。Josiah乐于帮助他调试DDoS攻击代码,甚至主动提供了自己僵尸网络中的数千台计算机让Paras进行测试。Paras说:“我不只是想按一个按钮,我想说我制造了这个按钮。”不久后,他就成了一个相对老练的僵尸网络牧人,拥有了自己的DDoS僵尸军团。

到了十年级,让他的父母感到沮丧的是,随着课程变得更难,Paras在学业上很吃力,他那些早期天才儿童惯用的技巧到了极限。但在网上,他使用的代号是“dreadiscool”,他肆无忌惮地拥抱了新的如同神一般的能力,凭一时兴起就撂倒目标。他和另一个朋友甚至有时会找到某些Minecraft服务器的托管公司的电话号码,从一个无痕电话号码拨打他们的商务线,口头嘲讽他们,同时由Paras发动的DDoS攻击让他们的机器离线。

从一个遵守规则、成绩优异的孩子,出身于一个严格的移民家庭,Paras变成了一个肆意破坏的网络暴徒。但对他来说,至少在那个时候,他、Josiah和Dalton都并不是很清楚他们的攻击可能会带来多严重的后果。毕竟,他们只是让一些计算机离开互联网,对吗?Paras说:“好像服务器会重新上线,你第二天起床,然后去学校。”

有时他会突然警醒,意识到自己行为的失控。他记得在自己家的浴室里坐下来,正是在他刚刚让一个最大的Minecraft服务器Hypixel离线之后,他意识到如果他继续下去,迟早是会被逮捕的。“不要迷失其中,”他告诉自己。“不要迷失其中。”

Paras被吸了进去,他们都是。特别是Josiah,这个曾经自欺欺人认为自己是个无害的黑客探索者或是Wozniak式的恶作剧者的基督教家庭教育者,迅速地、一步接一步地滑向了赚钱的网络犯罪。他以LiteSpeed这个名字开始,将他的放大技术卖给已知的booter服务运营商,每个客户几百美元,大部分钱用来租用远程数据中心的服务器来进一步进行黑客活动。他逆向工程了Skype的代码,找到了提取用户IP地址的方法,即他们家庭上网连接的标识符,这可以让他们直接遭受DDoS攻击。很快,他就开始按次出售这个IP提取工具,给他的黑客和booter同伙们。

当他的一个朋友即将成为受害者的人吹嘘说自己不会被踢下线,因为他有动态IP地址,每次他重启家里的路由器都会改变时,Josiah想出了用traceroute命令来查看目标和他的互联网服务提供商之间每个路由器的IP地址。于是,他和朋友开始攻击网络上游的计算机,攻击那些为他的计算机输送数据的更大的动脉,而不是连接到他家机器的微小毛细血管,直到那些路由器也都没有响应。这种不加选择的策略,据他们所知,使得整个目标居住的小镇的互联网服务都瘫痪了,所有这些只是为了阻止他躲避他们的攻击。

Josiah 说,每一步都足够小,以至于就像神话中的温水煮青蛙,他几乎没注意到道德温度的变化。他找到了自己非常擅长的东西——可能比他认识的任何人都要好。而且他告诉自己,他没有进行像侵入网络或盗窃信用卡数据这样的硬核网络犯罪。另一个Hack Forums的用户让他确信,只有超过10000台计算机的僵尸网络才会引起FBI的注意,他天真地接受了这个说法。“我为很多事情找了借口,”Josiah说。“锅已经烧开了。”

在2014年初,当Josiah还只有16岁时,他通过创建一种强大的新形式的僵尸网络,将温度又提高了决定性的一度。这始于一个朋友指出,家用路由器除了成为DDoS攻击的好目标外,本身也可以被黑客入侵,可能变成僵尸网络的奴隶。事实上,许多路由器仍然使用一种叫做telnet的旧协议,允许管理员远程配置他们,有时不需要任何认证,或者只需默认凭证,比如“admin”这样的密码。换句话说,所有这些路由器都代表着数以千计的可以被黑客入侵、被加入Josiah军队的设备。

关键是路由器是小型、简单的小玩意,使用便宜的低性能嵌入式设备芯片—这并不是大多数黑客习惯利用的系统类型。但Josiah从来没有被学习新机器的奥秘所吓倒的勇气。他从零开始,学会了编写路由器ARM芯片的本机语言,并构建了一个紧凑的恶意软件,可以通过telnet安装在相对“愚蠢”的设备上,使它们遵循他的攻击命令。

路由器的操作系统通常不允许在上面安装软件。但是Josiah发现,它们确实有一个"echo"命令,可以将你输入的任何文本行写入一个新文件。他用这个命令逐行复制他的代码到一个足够小的文件中,以便放进路由器那几兆字节的内存中。这个壮举好比在12盎司的瓶子里组装一艘模型船。他将这段代码命名为Qbot。

Qbot是Josiah首次尝试入侵所谓的物联网,一个由传统计算机以外、连接互联网的设备组成的庞大宇宙,从安全监控系统到智能家居设备,这些设备被证实很容易被利用。即便是在这个初步且粗糙的尝试中,Qbot立刻显露出它作为一种强大新武器的潜力。

Josiah可以看到他偶然发现的力量:似乎有成千上万的脆弱路由器在线上,Qbot可以轻易地控制。一开始,他对这个创造比他之前的编码项目更加小心,将Qbot的代码保密,并只与他的朋友们分享:Dalton、Paras以及其他几个组成了松散网络的年轻黑客,他们常在Skype和TeamSpeak上聚集。但是Josiah犯了一个错误,也将代码给了另一个联系人。这个人用名字"vypor",据Josiah说,因为拿其他黑客的秘密交换来印象更有才华的熟人而有些名声。vypor立即开始利用Qbot交换好处和在他的整个联系人列表中提高声望。

当背叛变得明显时,Dalton代表Josiah进行报复,通过零工服务Fiverr雇了一个说唱歌手,录制了一首带有严厉谩骂的、嘲讽vypor编码技能欠缺的歌曲。这首diss曲被上传到了YouTube。vypor立刻做出回应,威胁要"突袭"他们所有人:Dalton、Josiah,甚至是Paras,尽管他才刚加入这个组织。

这三个年轻黑客都非常害怕被突袭——对Dalton来说是再次突袭。他们认为,保护自己的最佳策略是将vypor挤下线,并尽可能长时间地阻止他。他们一时的想法告诉他们,如果他没办法接通VoIP服务来伪造给警方的电话,那么他就不能对任何人进行突袭。也许他们至少可以在vypor将武装警察带到他们家门前,享受一个周末。

于是他们一起,动用了他们掌握的所有DDoS工具对vypor进行轰炸。好几天了,他们一遍又一遍地不只是攻击他的家庭网络连接,甚至还用Qbot和其他所有他们知道的僵尸网络和放大技术,攻击了前面两三层的路由器。这三人相信,他们很可能把vypor所在的整个城镇都从互联网上搞垮了,尽管他们除了看到整个网络设备链不再回应他们的ping请求外,并没有得到其他确认。

不管怎样,这次攻击似乎达到了它的目的。Vypor从那时起就消失了,再也没有打扰过他们。

Allison Nixon,后来成为世界上最早完全理解通过武器化路由器和物联网设备所带来的危险的安全研究者之一,对Josiah White一无所知。但她知道LiteSpeed。

几年前在纽约开始她的职业生涯时,Nixon在戴尔旗下的SecureWorks子公司的安全运营中心工作夜班,基本上就是网络安全版的巡逻守夜人。作为一名二十出头的小个子、穿着卫衣的安全分析师,她实时监控公司客户的网络是否遭受攻击,并对这些攻击进行足够的初步调查,从而决定是否需要升级处理。“有点单调乏味,”她记得。

但她对这些每天都在发生的、五花八门的黑客尝试感到好奇。所以,在报警之间的漫长闲暇时间里,她开始上网搜寻,惊讶地发现了黑客论坛Hack Forums——一个公开的平台,上面满是年轻的数字不良分子在吹嘘他们的攻击,并公然销售攻击工具包。她尤其对booter services感到震惊:这些不法分子是多么公然,多么廉价地销售一种可能让公司每年损失数百万美元,并且常常让她和她的同事们生活变得异常艰难的网络攻击。由于这些年轻黑客过于草率地公开发布信息、操作安全松懈,以及频繁对竞争对手进行“doxing”(挖掘和揭露另一个黑客的真实身份),他们中的很多人甚至可以被辨识出来。但似乎没人在尽力阻止他们。

当Nixon在论坛上逗留的时间越来越长时,她注意到大多数黑客并没有实际开发自己的技术。相反,几乎所有的工具似乎都是从少数几个熟练的个体那里渗透过来的。LiteSpeed就是其中之一。他的攻击放大技巧和僵尸网络感染工具让他成为了黑客论坛中的领头羊,一个在混战中无法忽视的明显突出者。“有时候,当你在追踪某个人时,你会有一种直觉,觉得他们迟早会出名,不管是好是坏,”她说。“我知道我想要继续关注他。”

Nixon说,SecureWorks反威胁小组的更高级研究人员对DDoS攻击不太感兴趣,因为这些被认为比他们专注的尖端入侵方法要原始得多。但Nixon被年轻黑客创造的一个完全无政府主义式的“蝇王”世界所吸引,这个世界中建立了整个网络攻击行业,似乎没有任何后果、甚至执法部门都没有注意到。

Nixon与一名大学研究员合作,开始在黑客论坛上测试启动器服务,向一个实验对象服务器发起连串的垃圾流量攻击。一些攻击的流量超过了30吉比特每秒,这已经足够将某人踢出线上或使网站瘫痪。

到了2014年,Nixon已经离开了安全运营中心,全职投入猎杀黑客的工作,但她无法放弃对DDoS攻击的迷恋。在匹兹堡的一个名为国家网络取证与培训联盟的网络犯罪打击者会议上,她站在数十名研究人员、学者和执法官员面前的一个房间里。在一个刚刚介绍了其DDoS防护计划的互联网服务提供商的参与下,她演示了她如何点击启动器网站上的一个按钮,随意发起网络攻击——这在联邦特工和检察官面前是一个大胆的举动。

联邦调查局匹兹堡办公室的一名特工,名叫Elliott Peterson,对此特别印象深刻——他是一位来自阿拉斯加的前海军陆战队员,最近领导了对起源于俄罗斯的网络犯罪恶意软件和僵尸网络GameOver ZeuS的标志性打击行动。他和Nixon讨论了启动器的问题。她指出了这些服务是多么自由地运作,许多肇事者是可以识别的,以及任何干预这个世界可能有多大的影响力。她也分享了她日益增长的感觉,即如果不检查更大的问题,它将对互联网的运营构成严重威胁。

对Josiah来说,和Vypor的冲突是个警钟。他觉得自己差点就看着自己的秘密黑客爱好破坏了和平的家庭生活。一年多的时间里,他远离了Hack Forums论坛,让自己的LiteSpeed昵称沉寂了。但他继续跟他的朋友Paras和Dalton保持联络,三人开始共享一个租用的服务器,用来编程实验和网络扫描,他们把这个服务器叫做“乐趣盒子”。

与此同时,Paras却继续自己黑客虚无主义的自由落体式下滑。2014年秋天,他开始在Rutgers大学上大学,发现自己孤立无援。他原本期待深入学习计算机科学,却惊讶地发现自己必须选修其他类型的课程,这在他看来就是几个月的时间和学费的浪费。即使是计算机科学的考试,让他恐惧的是,也得用铅笔和纸完成。“我真的很讨厌大学,”他给一个朋友发消息说,“这里什么都没有给我。”

他陷入了一种消沉状态,体重增加,有时一坐就能吃掉一整个Papa Johns的大披萨。他晚上睡不着觉,常常找不到动力起床,更不用说去上课了。除了室友外,他在现实世界几乎没有社交往来——肯定没法比得上他在线上建立起来的那些经过战火考验的友谊。

Paras尤其感到沮丧的是,他甚至无法选修自己想参加的一些计算机科学课程:三年级和四年级的学生有优先权,只有他们注册完毕后,二年级和一年级的学生才有机会从剩余的课程中选择。

但Paras很快意识到他有一种超能力可以纠正这种不公:他可以利用他的僵尸网络,这网络主要由易受攻击的家用路由器构成,将整个注册系统弄瘫痪,直到轮到他为止。

他在折磨他认为折磨自己的机构时,感到了一种恶作剧的快感。在Twitter上,他使用@ogexfocus的账号,配上一张幽灵面具的图片,公开嘲讽他的目标。“罗格斯大学的IT部门就是个笑话”,他在公开宣言中写道,并在连续三次攻击后,吹嘘自己如何轻易地将大学的网络系统压扁“像我靴子底下的一罐易拉罐……我完全有信心闭着眼睛,哪怕切掉一条腿都能轻松绕着你们走圈圈。”

当可怕的考试临近时,他又一次摧毁了罗格斯大学的网络,为自己争取了几天痛苦的拖延时间。后来,他又使网络瘫痪,以防止父母看到他那越来越糟糕的成绩。“我感到很沮丧——我想是对我自己沮丧——然后就发泄出来了,”他说。

在2015年春天的一次事件中,Paras彻底击溃了罗格斯大学的网络,以至于他不得不发短信给Josiah,请求他代表继续发动攻击。“上将,你能执行我的命令吗?”他用他们发展出来的玩笑性的海军术语写道。故障持续的时间如此之长,以至于一些罗格斯大学的学生后来要求退还学费。

Paras喜欢攻击给他带来的控制感,就像多年前他在Minecraft世界做出调整时,悄无声息地观察玩家的反应一样,他看着攻击对大学产生的连锁效应。但是,当攻击结束时,他的问题依旧存在。到了第二年,Paras清楚地意识到大学并不适合他。

大概在同一时间,他和Josiah开始酝酿一个看似出路的想法:如果他们创建自己的创业公司,提供DDoS攻击防护服务,来保护那些付费客户,免受他们已经熟练发起的那种攻击呢?

对Josiah来说,这个主意非常合理。他对DDoS攻击有着深入的技术理解——事实上,他构建或至少使用过许多其他DDoS防护公司每天都在对抗的攻击工具——而Paras也在Minecraft服务器管理员中建立起了作为一个熟练程序员的声誉,他们可能是一个不错的初期客户群。

Paras从他父亲那里借来了10,000美元,他和Josiah用这笔钱共同创立了一家公司:ProTraf Solutions,名字的意思是“受保护的流量”。他们见过其他公司在防御新型DDoS攻击时的挣扎,而他们确信自己能做得更好。

但事情并没有那么简单。在ProTraf推出之后,他们意识到潜在的客户并不经常寻找DDoS保护服务。一般来说,除非他们现有的服务提供商未能抵御攻击,让他们遭受损失,否则他们通常没有转换服务提供商的需求,而这种情况很少发生。与此同时,Josiah和Paras在世界各地服务器上租用的带宽——他们用来吸收针对客户的攻击流量的缓冲——正迅速消耗着他们的资金。

不久他们想出了一个主意。只有当客户实际被攻击下线时,他们才会考虑转投ProTraf。也许这两个年轻合伙人只需要加快这一过程。“我们可以等待这样的中断发生,”Josiah说,“或者我们可以造成这样的中断。”

他们达成了一致:使用自己的DDoS攻击打击竞争对手的客户——当然,这只是为了让自己完全合法的业务站稳脚跟。Josiah记得自己当时是这么想的:“我们就这么做几次,搞点小麻烦,然后我们就忘了这事。我们会停下来。”

Josiah和Paras开始建立他们新的攻击用僵尸网络,无论他们如何自我安慰,这个网络实际上成了一种DDoS保护勒索活动。

这两个十几岁的年轻人利用Josiah过去写的Qbot代码重新感染了数千台路由器,并开始用它来针对他们竞争对手的客户——全是Minecraft服务器——轻松摧毁它们的防护。这种隐蔽的敲诈计划一时间确实起了作用。超过十几个渴望恢复在线的Minecraft管理员,转而选择ProTraf服务,每个人每月支付150或200美元。

但这仍然不够。他们扩张得太快了,购买的基础设施消耗的资金比收入补充得还快。他们发现,当攻击停止时,一些客户又回到了他们的竞争对手那里——也许是因为他们感觉到这些攻击与这家新公司的启动时间如此接近,未免太过巧合。“人们开始怀疑了。”Josiah说。

即使在努力让ProTraf站稳脚跟的同时,Josiah仍然在家族的电脑维修生意中工作。当他不需要在那里帮助客户时,他就打电话来拉销售。他想,如果他的父亲和哥哥可以向客户推销并建立业务,他也可以。但是,接电话的人没人愿意听这个滔滔不绝的少年推销如此关键的安全服务。电话落空了,Josiah开始讨厌打这些电话。

大约在2016年晚春,成立仅一年的ProTraf公司就即将倒闭了。对Josiah来说,公司即将走向死亡尤其难以接受。他的父母对他的商业雄心感到非常自豪:他似乎正在兑现自己巨大的潜力,继续他家族企业家的脚步。他真的要承认自己已经失败了吗?他感到陷入了困境,感到羞愧。

于是,Josiah开始考虑寻求其他的现金流。一位来自黑客圈的朋友对他重建的Qbot感染路由器收藏印象深刻。他问Josiah是否愿意建造一个新的DDoS僵尸网络。如果愿意的话,他会有客户排队用比特币支付数千美元以获取它的使用权。

Josiah向Paras提议,他们可以接受这个提议,并建造一个更大的新僵尸网络,将其攻击力的一部分租给出价最高的人,这是为了绝地求生地保持ProTraf公司的生命。这实质上意味着将公司从一家保护市场转变为他们新的、真正的业务的幌子:作为服务销售网络攻击。

“听上去不太合法,”Paras开玩笑说,似乎是合法的。

“嗯,”Josiah回复道,“有点吧。”

为了打造他们秘密的DDoS租赁业务的主要武器,Josiah和Paras决定从零开始。自从Qbot创建以来已经过去了几年,他们俩都有了一些关于如何感染和掌控更大规模的物联网设备的新想法。

自从Josiah最初的Qbot代码因他老朋友vypor的泄露而公开之后,黑客社区一直在对其进行稳步升级。现在有些版本已经被重新设计成了“蠕虫”:被感染的路由器会自动扫描其他易受攻击的设备并试图黑进它们,形成一个自我传播的循环。但是,当Josiah和Paras检查这些新的僵尸网络系统时,他们发现这些系统效率不高且不可靠。使用别人黑掉的路由器作为寻找新机器漏洞的突破点是非常笨拙的。此外,这种分散式的设置使得他们的僵尸软件升级变得缓慢而困难。

因此,他们设计了一个更为中心化的三步结构。他们的感染机器会扫描其他可黑的设备——使用他们称之为比他们以前看到的非法Qbot蠕虫快上百倍的新系统——然后将它们找到的易受攻击的小工具上报给一个“装载”服务器,该服务器会通过telnet黑进这些机器以安装他们的恶意软件。然后,一个单独的指挥控制服务器将对这些被感染的僵尸们进行指挥,定期发送新的命令来指定攻击目标。

Josiah和Paras对他们新的自动化僵尸招募过程的强大力量感到惊讶。Josiah记得有一次他让系统整夜运行,醒来时发现有16万台新鲜洗脑的路由器准备听他指挥——这比他以前控制的要多得多。

当他看到他们所构建的规模时,Josiah的计划——通过几次网络攻击赚点钱,然后回到ProTraf走正路——开始看起来像是一个浪费机会,浪费了他的才华。他回忆说:“这太酷了,这很有创新性。没人在做这个。”

随着他们的僵尸网络规模急剧扩大,Josiah 对 Paras 提出,他们甚至可以将微小部分的攻击力出租给攻击者,每月2000到3000美元,轻松每月收入超过10000美元。

“哈哈,”Paras 回复说。“那么舰队得有多大?”

“那不是问题。”Josiah 回应道。

看到他们的僵尸网络如此迅速地大范围扩张,这激发了Josiah 内心一种比任何盈利动机更纯粹的冲动。“这有什么限制?”他开始问自己。“我们能让这东西传播多远?”

自然地,他想到了他的老朋友Dalton,Dalton 总是有着推动技术极限的渴望。Josiah 和 Paras 同意让Dalton 控制他们不断增长的创造物的一部分,允许他通过自己的启动服务卖出访问权。作为交换,Dalton 将贡献他的黑客技能,寻找新的设备群体以增加进他们的大军。

为了最大化他们恶意软件的影响范围,Dalton开始钻研物联网蕴含的大量漏洞。他在全球范围内挖掘出数以万计带有未修补瑕疵的设备,这些机器远远超出了家用路由器的范畴:从在线冰箱、烤面包机到灯泡,各种智能家电都成为了他们集合起来的庞大原始计算力量的一部分。所有这些各式各样的数字设备都有一个相对未被开发的优势。虽然无数黑客竞相控制传统的计算设备,比如个人电脑甚至路由器,但许多这样的新设备却还未被恶意软件触及,仍然是无主之地。

监控摄像头的数字视频录像系统由于能够处理大型视频文件的硬件能力,尤其是成为了特别有力的新成员。一些扫描甚至发现了更为异乎寻常的可被黑客攻击的设备,诸如连接到互联网的工业水泥搅拌机和市政水务控制系统。(这三个黑客表示,他们确实避免了攻击这些工业设备,因为担心被误认为是网络恐怖分子。)

他们逐渐形成了一套工作流程。Dalton会扫描新类型的可利用设备,并编写代码来感染它们。Josiah会完善Dalton的代码,并创造软件来控制新加入到他们的联网小玩意集合中的设备。

而Paras则专注于他们指挥控制服务器上运行的管理软件——随着他们的僵尸网络增长到接近650,000台设备,这自身就是一个复杂的编程任务。他意识到他们的创造物的规模很快就会引起注意,因此他自告奋勇,创造了一系列的偏移指向来隐藏他们的身份,避免公众审查。为了宣传僵尸网络,Paras在Hack Forums、Skype、Reddit和Jabber上创建了一些叫做OGMemes和Ristorini的新马甲帐户。然后,他创建了一系列假的“dox”链接到这些账户——黑客通常用来曝光对手真实身份的帖子,但在这种情况下,全都指向了Paras选定的替罪羊。

为了让他们与僵尸网络的指挥控制服务器的连接更难追踪,Josiah找到了一台位于法国的易受攻击的服务器,他们可以黑进去,并将其作为跳板,只通过匿名软件Tor连接这台被黑的机器,这使得该电脑的拥有者看起来像是真正的幕后黑手。这台机器实际上是一个“种子盒”,一台一直在线的服务器,持续在BitTorrent协议上交换盗版电影。

法国服务器上实际上充斥着动漫视频,Paras对这个领域颇有了解。他是日本迷幻动画《未来日记》的粉丝,故事讲述了一名被排斥的少年发现自己是12位拥有魔法手机的战斗皇家成员之一,并最终——剧透警告——利用手机的力量成为了所有时空的神。Paras曾给朋友发短信说,《未来日记》“简直定义了心理惊悚类型”。

Paras知道他们的程序现在在全球成千上万的设备上运行,其文件名很快就会成为众所周知的话题。因此,为了与他们把僵尸网络的创造归咎于某个偶然的动漫收藏家的工作相符,他选择了一个合适的名字。更好的是,它也唤起了一个由时间旅行者带回现代的赛博朋克超级武器的记忆,这个世界完全无法准备的工具:Mirai。在日语中,它意味着“未来”。

对于Allison Nixon和其他从外部观察它的安全研究人员来说,Mirai的到来起初看起来不像是新超级大国的崛起,而更像是一场世界大战的开始——战场是互联网上众多不安全的小设备。

在2014年和2015年,也就是她所说的“僵尸网络之战”爆发之前,Nixon开始注意到像Lizard Squad和vDOS这样的持有失望情绪的黑客年轻团伙拾起了LiteSpeed泄露的Qbot代码,然后出售对自己的僵尸设备群的访问权限,或使用它们恐吓和勒索在线游戏服务。因此,Nixon在此期间开始在安全公司Flashpoint工作,创建了“蜜罐”——连接互联网的易受感染设备模拟,并设计被黑客的僵尸网络软件感染,充当其自己在僵尸网络军队中的间谍。其结果是一个实时的情报供给,揭示了启动器的命令和预定目标。

就在2016年9月初,当监控那些僵尸网络蜜罐时,Nixon和一些同事发现了一段有趣的新代码,它正在感染路由器和物联网设备:世界将会知道的那一个,名为Mirai。

这段新代码似乎能够检测到自己是在蜜罐系统上运行,而不是真实设备上,并且一旦检测到就会立即自毁。因此,Nixon和她的同事在eBay上买了一台便宜的DVR机器,将它连接到互联网,并观察这台被他们昵称为“悲伤的DVR”的设备,它一次又一次地被Mirai及其竞争对手感染。

实际上,Nixon不知道的是,那时候Mirai的创造者已经与vDOS这个竞争对手的僵尸网络团队卷入了一场日益升级的地盘战争。vDOS利用更新版的Qbot建立起了一个特别庞大的被黑客攻陷的机器大军。Mirai和vDOS团队都设计了其僵尸网络软件,以识别并消灭任何看起来像竞争对手的程序,这两个僵尸网络开始争夺成千上万台脆弱设备的控制权,就像军阀们反复征服和再征服同一块无人的争议土地。

不久之后,Mirai团队和vDOS开始通过匿名提交虚假投诉给彼此的指挥控制服务器的托管公司,迫使对方不得不建立新的基础设施。一度,一个名为BackConnect的公司,当时正在托管Mirai的服务器,而且是Mirai团队的熟人,遭到了vDOS团队的DDoS攻击。令Nixon震惊的是,BackConnect作出了回应,他们使用了一种名为BGP劫持的非常有争议的策略——基本上是对其他互联网服务提供商撒谎,从而误导大量数据流量——以有效地将vDOS的指挥控制服务器拉离线。

不久后,Paras、Josiah和Dalton厌倦了这种没完没了的针锋相对。他们重新编程了Mirai,允许它切断受害设备上的telnet连接——这样虽然使得设备更难更新,但也挡住了vDOS和任何其他竞争对手轻易地再次感染这些设备。看来这个招数奏效了:对于Mirai团队来说,vDOS似乎已经放弃了。(实际上,他们的对手已被执法部门询问过,并后来被逮捕。)

Nixon记得她和她的研究团队当时的感受,他们眼看着Mirai赢得了这场战争,开始主宰互联网上大量脆弱的设备。以前,这片混乱的领域中充斥着多样化的恶意软件。但现在,她首次目睹所有那些害意十足的代码似乎都安静了下来,因为Mirai更优越的感染技术控制了全球数十万台联网设备。“从我们的视角来看,就像是一种新型顶级掠食者在草原上游荡,所有其他动物都消失了,”Nixon说,“从那时起,我们开始追捕这个怪物。”

在许多网络安全研究界人士看来,这个庞大的僵尸网络的真正目的仍然是个谜。他们不知道的是,Josiah、Dalton 和 Paras 已经将 Mirai 开放给了市场,开始出售它的服务——Nixon 正在追捕的怪兽,本身也在寻找它的第一批受害者。

(第一部分完)

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2