2017年12月13日,美国司法部公布了一个案件。卷宗不长,却揭开了一段尘封的往事。
在这起发生在美国的神秘案件侦破之后,FBI 致谢了很多科技公司,其中甚至还包含了一家中国公司(红衣教主的 360)。
我找到了 360 的神秘安全研究员李丰沛,本来只是想要八卦一下案情细节。没想到,他却出乎意料地给我讲了一整个波云诡谲的故事,故事里面甚至还混入了羞羞的情节。。。
(以下故事演绎自李丰沛的口述以及公开资料)
(一)序章:蚂蚁僵尸和神秘黑客
2016年10月21日,阳光照在旋转的地球上,硕大的明暗分界线正在大地上缓慢行走。中国的大部分地区正进入沉沉的黑夜,而地球对面的美国刚好迎来一个深秋的早晨。
新罕布什尔州曼彻斯特市的一片树叶无声地落向街道,而在路面之下的光缆中,某种漆黑的物质正在窸窸窣窣地奔突。来自世界各地的互联网流量,正在向美国东岸涌来,形成一股光速移动的洪峰,冲向域名解析服务商 Dyn 的服务器。
毫无征兆,Dyn 的服务器各个入口被涌来的垃圾流量打满。作为一个域名解析的服务商,Dyn 为全美大部分地区提供基本的上网保障。它本身拥有一套完整的应急预案,但是就在预案启动后的几分钟,他们意识到,这次攻击之猛烈,已经超出了预案的想象力。
像泰坦尼克号一样,各个船舱一个接一个地灌满水,最后连底层的轮机室都没有幸免,几分钟内 Dyn 悄无声息地沉入大西洋。
美国东岸各大城市,人们齐刷刷地抬起头看向彼此,因为他们面前的电脑、手中的手机都陷入了空白, Twitter、spotify、netflix、airbnb、github、reddit、Paypal 等等一系列服务都相继瘫痪。
这是一个漫长的白天,攻击的潮水先后三次来袭,每次都持续一个小时左右。网络服务时断时续,美国东海岸陷入了9·11之后最大的“互联网恐怖袭击”中。这显然是一次灾难,因为整个美国在这种攻击面前像个婴儿一样毫无还手之力。
究竟发生了什么?
直到一切尘埃落定,人们才知道,这次野蛮的攻击,来自于世界各地的网络摄像头和路由器。是的,你没看错,就是那些坐在你客厅桌子上的那些看上去“人畜无害”的小东西。它们本来静悄悄地躺在主人家里,只通过一根网线和外界相连。然而正是这根小小的网线,却成为了黑客控制木偶的那根“提线”。
一个神秘的病毒,顺着通过网线钻进无数家庭的大门,入侵了数以百计的摄像头。在主人眼里这些硬件并无异样。然而,它们的指示灯却仿佛变成了红色的眼睛,如被感染的僵尸一样,在赛博世界调转枪头,疯狂地向互联网吐出新的病毒。
就这样,地球上数十万的硬件设备,组成了硕大无朋的“僵尸网络”。这个僵尸网络,像一群食人蚁,他们发出的垃圾访问整齐划一,在网络世界左右奔流,所到之处必定网络瘫痪、寸草不生。
事实上,这些不会思考的摄像头都受控于同一个“神秘黑客”。而这个神秘人是谁,他的枪口还将指向谁,没有人知道。人们陷入无尽的恐慌。。。
更鲜有人知的是,就在31天前,同样的攻击曾经有一次预演。
(二)克雷布斯,揭黑大神的滑铁卢
克雷布斯(Krebs)是个一脸正义的美国调查记者。
他有点像“黑客界的方舟子”,专门向读者揭露网络上的“暗黑产业”。他的日常是在自己开设的网站“KrebsOnSecurity.com”上爆猛料,例如“某个 DDoS 团伙的头目是谁”,“某个公司遭遇了数据泄露”,等等。无论多么诡异的事情,他都可以调查得水落石出。就像那个“恨美国”的导演迈克·摩尔一样。
(我觉得,克雷布斯长了一张正义的脸,他在自己官方网站上的形象是这样↓↓↓)
显然,爆黑料经常会得罪各路黑道大哥,Krebs On Security 网站三天两头遭到不明攻击,实际上,他还经常接到威胁的实体邮件,甚至还有不明真相的警察被利用来刁难他。调查记者果然都有一个悲惨的人生啊。。。
2016年9月20日,就在 Mirai 病毒爆发前一个月,克雷布斯发现自己的网站遭遇了巨大流量的 DDoS 攻击,没错,就连这位见多识广的神人都没有见过这么大流量的攻击,峰值达到了665G。在这样的攻击下,别说是一个网站,就连城市的主干网都险些被它连累挂掉。
(克雷布斯当时在“某不存在的网站”上发了一条感慨)
当然,克雷布斯也不是吃素的,他立刻呼朋唤友,找一直合作的服务商来帮他“扛”这次攻击。
形象地来说,DDoS 攻击就像是白娘子的“水漫金山”,而防御它的方法只能是“大禹治水”——开挖河道。克雷布斯的救兵是大名鼎鼎的 Akamai 公司,这家公司是全球最大的 CDN 网络分发商,号称全世界 30% 的流量都在自己手里经过。他们手里的“河道宽度”肯定是杠杠的。
Akamai 虽然信心满怀地接受了这个任务,但其实他们在此之前见过的最大攻击是 363G,几乎只有这次的一半。严防死守了两天之后,Akamai 怂了。他们发现攻击的浪潮不减反增,继续防御下去资源消耗会非常恐怖,连正常的生意都没法做了。于是抱拳拱手,和克雷布斯说了声爱莫能助,另请高明,回见。。。
克雷布斯的网站重新变成“全身不遂”。
被黑客戏弄,这可能是他职业生涯的一个不大不小的“滑铁卢”。这位倔强的小哥哥只好临阵换帅,另寻高人。不料,有人自告奋勇找到了他,这就是号称全球 25% 的流量都经过自己服务器的 Google。Google 虽然主动请缨,但基层的安全研究员接到任务,感到压力山大,立刻分成了“主和派”和“主战派”,主和派的意思是说,干嘛为了一个保护小网站和这么凶猛的敌人交恶呢?而主战派的意思是,人生就是一场战斗,该来的总会来,逃避也没有用。
最终,Google 还是硬着头皮上,让克雷布斯把网站接入防御系统。经过了让克雷布斯想要杀人的复杂手续,Google 的防御终于在两天后上线了。。。
半年后,Google 的安全研究员在演讲里提到了这次惨烈的防御,他们并没有透漏具体的数据细节,然而从结果上来看,他们付出巨大的代价,最终防御住了进攻。
但重点在于:克雷布斯这么傲娇的人,哪里经得起这样欺负?在攻击结束之后,他马上宣布开始独立调查这件事。彼时他手上的证据有限,而随着研究深入,他越发怀疑,攻击自己的黑客和一个月后的美国东部大断网,是同一拨人干的。。。
(三)艾略特,神秘的 FBI 探员
美国东部大断网事件发生之后,两组人马立刻开始了调查。
一组是刚才提到的单枪匹马的克雷布斯,他发誓要报仇雪恨。
另一组是经常出现在各路美国大片里的“国家队”FBI,为首的是探员艾略特·彼得森(Elliott Perterson),他是一个少见的“网络特工”,常年追踪各大网络犯罪团伙。
艾略特是一个像詹姆斯邦德一样全能的特工,虽然他看上去并没有邦德那么让人想舔屏。重点在于,这哥们同样是一个非常传奇的人。毕业之后参军,曾经几赴伊拉克,回国后加入 FBI,成为联邦调查局最早的网络犯罪侦查员之一。
艾略特非常低调,他首次出现在公共视野中,是在2015年的 BlackHat 黑客大会。这个每年在拉斯维加斯召开的黑客大会被称为黑客界的“奥斯卡”,能够登上这个讲台的人,绝对是全世界网络安全界的偶像级人物。艾略特以“FBI 特工”这样的闷骚身份登场,更是别人对他的八卦议论纷纷。
这是在2015年BlackHat 大会上演讲的艾略特(Elliott Perterson),右下角是他列出的提供帮助的组织名录。
2015年艾略特的演讲题目就是如何追踪一个名为“GameOver Zeus(我把它非官方翻译为:宙斯完蛋操)”的僵尸网络。他和教育机构安全研究人员、安全公司、英美执法机构一起,通过缜密的侦查和技术反制,最终定位到这个僵尸网络背后的实际控制人是某个俄罗斯人,并且利用彪悍的技术对抗直接强势接管了这个僵尸网络,让它不再为害人间。
当然,除了知道艾略特大致的背景以外,人们对这位探员的其他行踪一无所知。(其实这里有个小秘密,那就是艾略特曾经和中国有过一次屌屌的交锋,为了社会和谐,此处省略2000字。)
艾略特一直在关注 DDoS 相关的案子,这个案子也当仁不让,强势接手。他憋了一口气:整个美国东部笼罩在网络恐怖袭击中整整一天,造成了数十亿美元的损失,犯罪嫌疑人不仅没被质控,反而连它究竟是男是女,是哪国人都没有任何线索。艾略特知道,如果自己也解决不了这件事,那罪犯也许就要永远逍遥法外了。。。
时间一分一秒过去了,距离事件发生已经过去一个多月,艾略特如失踪了一般,没有人知道他在用什么方法调查。而之前宣布独立调查的克雷布斯似乎也没有得出结论。
(四)Mirai 浮出水面,伴随羞羞日本动漫
扑朔迷离。
我们把目光再拉回到2017年10月21日。美国大断网发生的那天。
这次袭击,让大洋彼岸的中国都有所震动,连百度指数都飚到了前所未有的高峰。
虽说连扫地大妈都在讨论断网事件,但是真正有能力为调查贡献力量的大牛,全世界并没有几个人。
FBI 探员艾略特,拥有调查权,他可以要求美国境内的组织和个人配合调查;
其他的商业公司,显然没办法使用强制手段,他们想要贡献力量的话,只能使用网络上公开的信息进行分析溯源。但他们的优势在于成熟安全团队和久经考验的分析能力。
一些独立调查者,和商业公司一样,他们也只能接触公开的数据,掌握的资源有限。
于是,全世界想要破案的人们,默默形成了一个“联盟”,用对外发布报告的形式为 FBI 的调查“隔空”提供信息。
从技术上来看,要找到罪犯需要分两步走:1、找到僵尸网络背后的那个可怕病毒。2、通过分析这个病毒代码试着溯源到背后的作者。
为了先找到背后的病毒,各家公司各显神通。不到一天的时间里,他们就通过数据分析出,这个僵尸网络的始作俑者,是一个月前刚刚声名鹊起的病毒——Mirai。
在大断网攻击发生前的9月30日,黑客界口耳相传着一件“大新闻”,一个名为 Mirai 的病毒源代码被自称作者的神秘账户完整地发布在了互联网上。这个病毒极其精巧,可以用来大规模控制互联网上的摄像头和路由器。这样一来,只要有一些代码基础的“脚本小子”就可以通过这个原始文档改造出病毒变种,进而营造自己的僵尸网络,导演新的攻击。如同僵尸片里的病毒逃出实验室一样,这是一种可怕的失控。
那么问题来了,作者为什么要把自己的病毒源代码公布出来呢?
按照常理来说,共享病毒的源代码,只会给病毒的作者带来更多竞争者,这相当于一家企业辛苦研发了一台手机,却把图纸毫无保留地公布在了网上。如果真的是作者本人把源代码公布出来,他的动机是神马呢?如果公布者并不是真正的作者,那么他是怎么拿到源代码的呢?
这些谜团,直到最后才会被解开。在当时,人们只是从两个名字里,发现了一些有趣的事实。
1)Mirai
之所以把这个病毒称为 Mirai,是因为在病毒代码中,作者悄然嵌入了“Mirai”这个并没有实际意义的词,所以显然这是作者为病毒起的名字。人们马上发现,Mirai 是一个日语词汇,而在日本恰好有一部热播的动漫《Mirai Nikki》,翻译成中文就是《未来日记》。这部动漫故事的核心,是一个孤僻的国中生因为突然拥有了预知未来的能力而被卷入了一场生死游戏。
看来,这个病毒在诞生的那一天,就已经被作者描绘了黑暗的未来。这个名字似乎隐喻着整个事件都是一个高智商犯罪,不禁让人冷汗直流。
2)Anna-senpai
另外一个“巧合”是,把 Mirai 代码共享到网上的神秘人,使用的ID是“Anna-senpai”。
(这是作者上传病毒代码的原贴截图,注意看头像。。。)
很多宅男一眼就看出, 这个名字就是“安娜前辈”,这是日本动漫《没有黄段子的无聊世界》里一位女学生会主席,她起初清纯,而后淫邪,成为反乌托邦的“旗手”。(为了写这篇文章,我专门看了一集《没有黄段子的无聊世界》,原谅我不能在一句话里把二次元世界的精髓完整展现。。。)能够看这个动漫的人,大概是一个重度中二男。
(来一张安娜学姐全身的精选图,希望没有打断你阅读的思路。。。)
除此之外,别无他物。
(五)“僵尸”变异,德国全境陷落
Mirai 的真凶仍然无解,但是剧情从不等人。仅仅一个月之后,新的恐慌已经来袭——病毒的变种四处开花。
2016年11月28日,德国电信 Telekom 路由器遭到大规模入侵,德国境内2000万台路由器被入侵,而在入侵的过程中,有90万台在感染过程中就直接崩溃。这场攻击几乎波及了所有德国人,引起了巨大的恐慌。
(德国受病毒影响的范围,感觉德国在过本命年。。。)
全球的安全研究者马上调转注意力,他们纷纷怀疑这是 Mirai 作者的新一波进攻。然而,中国公司 360 在一天后给出的报告中指出了一个小问题。那就是,这次攻击的病毒制造者看起来采用了新的感染方法,而这个新方法恰好可以让安全研究员通过数据分析,追踪到控制者的主控服务器。
出乎意料的是,报告发出仅仅四个小时,360 收到了这个病毒的新版本,里面的代码不仅进行了“升级”,还特别加入了一段特别的表白:“iloveyouthreesixty”(我爱你 360)。
(这是病毒的代码截图,360 网络安全研究院院长宫一鸣首发在自己的微博 @宫一鸣cn 里)
与其说这是病毒作者对安全公司的挑衅,不如说这是他绝望的咒骂。因为仅仅一个多月以后,这位代号为“Bestbuy(百思买)”的作者就在英国被捕,引渡到德国受审。遗憾的是,他被证明不是 Mirai 的原作者。如你所料,他只是利用原作者在网上公开的源代码进行了改造,产生了新的变种病毒。但他无疑成为了 Mirai 系列病毒被捕的第一人,这让全世界的安全社区受到了不小的鼓舞。
(这位就是变种病毒作者,真名为 Daniel Kaye,时年29岁。)
根据 360 的报告,Bestbuy 很可能还和一次对利比里亚电信运营商的攻击有关。果然,Bestbuy 在庭上承认自己曾经收了一万美金,帮助金主攻击了利比里亚电信运营商,事件的后果是:整个国家网络都为此瘫痪。
(利比里亚遭受攻击时候的新闻截图)
2017年9月,Bestbuy 案宣判,这位作者获得了18个月的缓刑。这是一个相当轻的判决,意味着他只要不继续作恶,就不必真正在监狱里服刑。让人哭笑不得的是,他刚刚乘坐飞机回到英国,就被英国警方迅雷不及掩耳盗铃之势扣押。因为“病毒不长眼”,他攻击德国电信的病毒,一度已经通过互联网蔓延到了英国和北爱尔兰,造成了不小的损失。这是个小插曲。
与此同时, 世界各地都产生了无数 Mirai 新的变种,像僵尸一样扩散着。此处篇幅有限,难以一一呈现。
(六)真容,“安娜学姐”浮出水面
探员艾略特遇到的困难比想象中更大。
第一个要搞定的就是固定证据。为了证明“黑客利用病毒入侵了摄像头”这个简单的事实,他在老家阿拉斯加向法院申请手续,然后挨家挨户找到被感染的摄像头,询问他们“有没有授权别人控制自己的摄像头?”
第二个要做的,就是追根溯源。要找到 Mirai 背后的那个黑客,非常不容易。神秘黑客的反侦察能力很强,它的控制指令在全球很多服务器多次跳转,就像一个嫌犯混在火车站的人流里,稍有不慎就会“跟丢”。
(僵尸网络,主控信号在多个服务器之间来回跳转,非常难以追溯。)
十二月的某一天,艾略特在追查中突然发现了一台位于法国的服务器,这台服务器虽然有嫌疑,但并没什么特别之处。但是就在一闪念,艾略特突然有了惊人的发现:这台服务器上存储了无数日本动漫。他脑海中闪现出 Mirai 作者的宅男形象,刹那间他觉得这台服务器就是他一直苦苦寻找的。
2017年1月,调查记者克雷布斯终于发布了一篇文章,他强烈怀疑两个刚刚大学毕业的毛头小子是 Mirai 的背后黑手。这两个人分别为 Paras Jha 和 Josiah White。克雷布斯细数了怀疑他们的证据,虽然没有实锤,但公众仿佛觉得克雷布斯单枪匹马已经走到了 FBI 前面。他们不知道,这两个人的照片早就已经挂在艾略特 FBI 的办公室里了。。。
直到2017年12月13日,美国司法部突然公布卷宗,人们才恍然大悟,原来案件已经被侦破。
具体的办案过程,美国司法部守口如瓶。他们只给出了三名罪犯的名字:Paras Jha、Josiah White和 Dalton Norman 以及他们的罪行。文件显示,这三个人是在2017年5月受到 FBI 指控的。没错,这三个人,被调查记者克雷布斯单枪匹马揪出两个,这哥们果然骁勇。
(根据公开信息,这个应该就是 Paras Jha 的真身,资料显示他毕业于 Rutgers 学校,关注者只有295个。这个人就是网络上的“安娜学姐”。怎么样,惊不惊喜,意不意外。。。)
根据克雷布斯的调查,这三个人都毕业于 Rutgers campus 大学(这是美国计算机专业相当著名的学校),他们攒了一个专门从事“网络安全”的公司,Jha 任 CEO。他们对自己的母校非常“热爱”,于是决定利用手里的僵尸网络攻击一下母校。于是,在大半年的时间里, Rutgers campus 一直受到网络攻击,以至于最后不得不增加 IT 建设成本,连学费都涨价了。事情的结局是,Jha 的公司卖给母校一套反网络攻击的防护系统,天下太平。。。
而在 Mirai 的制作中,这三个热爱日本动漫的宅男分工是这样的:
Paras Jha:写了最开始的源代码,负责建设“基础设施”。他就是神秘的“Anna-Senpai”。
Josiah White:写了一个精妙的扫描器,可以一次发出成千上万的 Syn 包,扫描网络的速度达到了之前的上千倍,这也是为什么这个病毒可以快速感染百万台设备的原因。
Dalton Norman:找到了4个和摄像头、路由器相关的高危漏洞(0-Day),可以进出这些设备如入无人之境。
他们利用 Mirai 病毒,迅速在全世界收割了上百万台设备,这些设备听命于他们,对外提供各种暗黑服务。
(媒体抓拍到 Paras Jha 和他的代理律师走出法庭)
他们提供的服务包括:利用全世界各地的 IP 帮网站刷浏览量;收黑钱帮助金主发起 DDoS 攻击;利用控制的僵尸网络比特币挖矿;帮助黑色产业量刷单薅羊毛,等等等等。归里包堆,这些服务帮他们赚了100个比特币。(本来没赚多少钱,但按照现在比特币价格的涨势,这些人犯罪所得数额可以用巨大来形容。。。)
而构建僵尸网络的最初目标其实很简单,他们想攻击游戏“我的世界”(MineCraft)的服务器,从而可以玩游戏开挂。。。
(这就是游戏“我的世界”,MineCraft)
没想到,他们对自己手中掌握的武器一无所知,李丰沛专门找到了一张图片:一个小孩子手里拿着火箭炮的图片,来比喻这三个年轻人。他们一次攻击就造成了美国东岸大断网,这就好像本来只想开几枪,结果不明所以地触动了核武器。
在庭审中,Paras Jha 终于解开了一个谜团,他之所以化身“Anna-Senpai”把代码公布在网上,是因为他想要推脱罪责。一旦将来自己落网,他可以辩称自己的攻击程序是下载来的,并不是病毒的原创者。但是,他的如意算盘显然是落空了,牛X的 FBI 探员显然找到了更强的铁证,让他们最终承认自己就是作者。
然而,这个故事还有一个未解之谜,那就是 Jha 最终也没有承认对于克雷布斯的攻击是他们干的,虽然根据证据,这两次攻击源的重合比例达到了70%以上。
(七)安全社区,沉默的幕后英雄
罪犯终于伏法,但整个事件并非你我想象的那么简单。
2017年12月,美国司法部卷宗披露以后,FBI 在推特中专门致谢了对这起案件侦破至关重要的几个公司,包括 360、AT&T、Dyn(受害者终于报仇了)、Paterva、Paypal、ShadowServer。
360 作为离美国最远的中国公司,居然排在第一名。。。就连红衣教主周鸿祎都转发截图嗨皮了一下。
这么说来,360 难道为 FBI 提供了什么了不起的破案证据吗?
我专门问了一下李丰沛,他告诉我,360 在这次网络恐怖袭击破案中,并没有做什么了不起的事情,唯一的工作就是不断地研究不断地发报告。从360网络安全实验室的博客来看,自从 Mirai 爆发,他们不断地从数据中分析 Mirai 病毒活动的蛛丝马迹。从美国断网到德国电信断网,再到病毒新变种,甚至还在攻击前两天就预测出僵尸网络的规模。
不过李丰沛说,真正让 FBI 最终抓到罪犯的,是全世界安全社区的共同努力。至于名单的先后,显然是按照数字到字母先后顺序排列的,360 排在第一位,最主要的原因是名字起得好。。。
李丰沛告诉我,从纯商业上来讲,其实这件事情是“费力不讨好”的。做这样的数据分析,并不会带来盈利收益,反而每篇报告都需要动用团队十几个人,花几十个小时来做研究,同时需要大量的真金白银投入才能获得全球互联网上产生的一手珍贵数据。如果从世俗的眼光来看,这么多努力,最终获得的不过是一句鸣谢,别无他物。不值。
不过,他却从另一个角度为我解读了自己的动机。
全世界,存在诸多隐秘的安全社区。表面上人们看到的是 FBI 一呼百应,各大公司提供力所能及的帮助。而实际上,这些组织内的安全研究员,都身处一个共同的安全社区。为了安全起见,他们从对外不透露自己的“组织关系”,却在默默联合着为这个世界的安全和底线贡献着力量。
而根据可靠消息,那位 FBI 探员艾略特正是组织成员之一,他表面上孤立无援,实际上却在背后不断得到世界顶级安全大咖的支持。
这听上去很神秘。
从另一个角度来讲,凡是为这件事情贡献力量的公司和个人,其实都身处这个巨大的安全社区里,如果没有欧洲各大安全公司的协作,德国电信攻击者 Bestbuy不会这么快落网;同样,如果没有Dyn、Paterva、Paypal、德国电信、法国服务器公司和 360 等等全世界安全社区纷纷不计回报地贡献力量,罪犯极有可能仍在逍遥法外。
但是,如果罪犯继续逍遥法外,我们所有曾经旁观的人,不都会成为下一个受害者么?
(八)尾声
黑客伏法,并不意味着 Mirai 的消亡。
Mirai 的每一段代码都已经被作者公开到网络上,在全球摄像头和路由器全体更新换代之前,任何一个黑客都有可能带着变种的病毒卷土重来,Mirai 已经成为不死之身。
(这是 Mirai 和变种在全球的蔓延情况。)
从 360 网络安全实验室发布的报告可以看出,就在两周前的12月5日,他们刚刚侦测到 Mirai 的一个新变种在用新的方式传播,而这个新变种将会造成多大的损失,没人能够准确预测。
数以亿计的在角落里虎视眈眈的 Mirai 病毒,已经让我们的世界变得和以前不再一样。之所以你我的生活看起来风平浪静,只是因为全世界有比病毒更强大的无数热爱安全的人们,在沉默地坚守。
由此,不仅 FBI 需要向默默无闻的安全社区致谢,每一个在互联网上无忧无虑生活的人,都欠他们一个感谢。