數以億計的在角落裡虎視眈眈的 Mirai 病毒,已經讓我們的世界變得和以前不再一樣。之所以你我的生活看起來風平浪靜,只是因為全世界有比病毒更強大的無數熱愛安全的人們,在沉默地堅守。
2017年12月13日,美國司法部公佈了一個案件。卷宗不長,卻揭開了一段塵封的往事。
在這起發生在美國的神秘案件偵破之後,FBI 致謝了很多科技公司,其中甚至還包含了中國的360公司。 我找到了 360 的安全研究員李豐沛,本來只是想要八卦一下案情細節。沒想到,他卻出乎意料地給我講了一整個波雲詭譎的故事… …
(以下內容來自自李豐沛的口述以及公開資料)
序章:螞蟻殭屍和神秘駭客
2016年10月21日,陽光照在旋轉的地球上,碩大的明暗分界線正在大地上緩慢行走。地球東半邊大部分地區正進入沉沉的黑夜,而地球對面的美國剛好迎來一個深秋的早晨。
新罕布夏州曼徹斯特市的一片樹葉無聲地落向街道,而在路面之下的光纜中,某種漆黑的物質正在窸窸窣窣地奔突。來自世界各地的網路流量,正在向美國東岸湧來,形成一股光速移動的洪峰,衝向域名解析服務商 Dyn 的伺服器。
毫無徵兆,Dyn 的伺服器各個入口被湧來的垃圾流量打滿。作為一個DNS域名解析的服務商,Dyn 為全美大部分地區提供基本的上網保障。它本身擁有一套完整的應急預案,但是就在預備方案啟動後的幾分鐘,他們意識到,這次攻擊之猛烈,已經超出了原來的想像力。
像鐵達尼號一樣,各個船艙一個接一個地灌滿水,最後連底層的輪機室都沒有倖免,幾分鐘內 Dyn 悄無聲息地沉入大西洋。
美國東岸各大城市,人們抬起頭看向彼此,因為他們面前的電腦、手中的手機都陷入了空白, Twitter、spotify、netflix、airbnb、github、reddit、Paypal 等等一系列服務都相繼癱瘓。
這是一個漫長的白天,攻擊的潮水先後三次來襲,每次都持續一個小時左右。網路服務時斷時續,美國東海岸陷入了9‧11之後最大的「網際網路恐怖襲擊」中。這顯然是一次災難,因為整個美國在這種攻擊面前像個嬰兒一樣毫無還手之力。
究竟發生了什麼?
直到一切塵埃落定,人們才知道,這次野蠻的攻擊,來自於世界各地的網路Webcam和路由器。是的,你沒看錯,就是那些坐在你客廳桌子上的那些看上去「人畜無害」的小東西。它們本來靜悄悄地躺在主人家裡,只透過一根網路線和外界相連。然而正是這根小小的網路線,卻成為了駭客控制木偶的那根「提線」。
一個神秘的病毒,順著網路線鑽進無數家庭的大門,入侵了數以百計的Webcam。在主人眼裡這些軟體並無異樣。然而,它們的指示燈卻彷彿變成了紅色的眼睛,如被感染的殭屍一樣,在虛擬世界調轉槍頭,瘋狂地向網際網路吐出新的病毒。
就這樣,地球上數十萬、數百萬的軟體設備,組成了碩大無朋的「殭屍網路」。這個殭屍網路,像一群食人蟻,他們發出的垃圾連結整齊劃一,在網路世界左右奔流,所到之處必定網路癱瘓、寸草不生。
事實上,這些不會思考的Webcam都受控於同一個「神秘駭客」。而這個神秘人是誰,他的槍口還將指向誰,沒有人知道。人們陷入無盡的恐慌… …
更鮮有人知的是,就在31天前,同樣的攻擊曾經有一次預演。
克萊布斯,揭駭大神的滑鐵盧
克萊布斯(Krebs)是個一臉正義的美國調查記者。
他專門向讀者揭露網路上的「暗黑產業」。他的日常是在自己開設的網站「KrebsOnSecurity.com」上爆猛料,例如「某個 DDoS 集團的頭目是誰」「某個公司的資料外洩」等等。無論多麼詭異的事情,他都可以調查得水落石出。就像那個「恨美國」的導演麥可‧摩爾一樣。
顯然,爆黑料經常會得罪各路黑道大哥,Krebs On Security 網站三天兩頭遭到不明攻擊,實際上,他還經常接到威脅的實體郵件,甚至還有不明真相的警察被利用來刁難他。調查記者果然都有一個悲慘的人生啊… …
2016年9月20日,就在 Mirai 病毒爆發前一個月,克萊布斯發現自己的網站遭遇了巨大流量的 DDoS 攻擊,沒錯,就連這位見多識廣的神人都沒有見過這麼大流量的攻擊,峰值達到了665G。在這樣的攻擊下,別說是一個網站,就連城市的主幹網都險些被它連累掛掉。
當然,克萊布斯也不是吃素的,他立刻呼朋喚友,找一直合作的服務商來幫他抵擋這次攻擊。
形象地來說,DDoS 攻擊就像是白娘子的「水漫金山」,而防禦它的方法只能是「大禹治水」——開挖河道。克萊布斯的救兵是大名鼎鼎的 Akamai 公司,這家公司是全球最大的 CDN 網路分發商,號稱全世界 30% 的流量都在自己手裡經過。他們手裡的「河道寬度」絕對是沒話說的。
Akamai 雖然信心滿懷地接受了這個任務,但其實他們在此之前見過的最大攻擊是 363G,幾乎只有這次的一半。嚴防死守了兩天之後,Akamai 也遜掉了。他們發現攻擊的浪潮不減反增,繼續防禦下去資源消耗會非常恐怖,連正常的生意都沒法做。於是雙手一攤,和克萊布斯說了聲愛莫能助,另請高明,再見… …
克萊布斯的網站重新變成了「全身不遂」。
被駭客戲弄,這可能是他職業生涯的一個不大不小的「滑鐵盧」。這位倔強的記者只好臨陣換帥,另尋高人。不料,有人自告奮勇找到了他,這就是號稱全球 25% 的流量都經過自己伺服器的 Google。Google 雖然主動請纓,但基層的安全研究員接到任務,感到壓力巨大,立刻分成了「主和派」和「主戰派」,主和派的意思是說,幹嘛為了一個保護小網站和這麼兇猛的敵人交惡呢?而主戰派的意思是,人生就是一場戰鬥,該來的總會來,逃避也沒有用。
最終,Google 還是硬著頭皮上,讓克萊布斯把網站接入防禦系統。經過了繁複地讓克萊布斯想要殺人的手續後,Google 的防禦終於在兩天後上線了… …
半年後,Google 的安全研究員在演講裡提到了這次慘烈的防禦,他們並沒有透漏具體的資料細節,然而從結果上來看,他們付出巨大的代價,最終防禦住了進攻。
但重點在於:克萊布斯這麼驕傲的人,哪裡經得起這樣欺負?在攻擊結束之後,他馬上宣佈開始獨立調查這件事。彼時他手上的證據有限,而隨著研究深入,他越發懷疑,攻擊自己的駭客和一個月後的美國東部大斷網,是同一批人幹的… …
艾略特,神秘的 FBI 探員
美國東部大斷網事件發生之後,兩組人馬立刻開始了調查。
一組是剛才提到的單槍匹馬的克萊布斯,他發誓要報仇雪恨。
另一組是經常出現在各路好萊塢電影片中的「國家隊」FBI,為首的是探員艾略特‧彼得森(Elliott Perterson),他是一個少見的「網路幹員」,常年追蹤各大網路犯罪集團。
艾略特是一個像詹姆士龐德一樣全能的間諜,雖然他看上去並沒有龐德那麼帥。重點在於,他同樣是一個非常傳奇的人。畢業之後參軍伍,曾經幾赴伊拉克,回國後加入 FBI,成為聯邦調查局最早的網路犯罪偵查員之一。
艾略特非常低調,他首次出現在公共視野中,是在2015年的 BlackHat 駭客大會。這個每年在拉斯維加斯召開的駭客大會被稱為駭客界的「奧斯卡」,能夠登上這個講台的人,絕對是全世界網路安全界的偶像級人物。艾略特以「FBI 幹員」這樣的身份登場,更是別人對他的八卦議論紛紛。
2015年艾略特的演講題目就是如何追蹤一個名為「GameOver Zeus」的殭屍網路。他和教育機構安全研究人員、安全公司、英美執法機構一起,透過縝密的偵查和技術反制,最終定位到這個殭屍網路背後的實際控制人是某個俄羅斯人,並且利用彪悍的技術對抗直接強勢接管了這個殭屍網路,讓它不再為害人間。
當然,除了知道艾略特大致的背景以外,人們對這位探員的其他行蹤一無所知。
艾略特一直在關注 DDoS 相關的案子,這個案子也當仁不讓,強勢接手。他憋了一口氣:整個美國東部籠罩在網路恐怖襲擊中整整一天,造成了數十億美元的損失,犯罪嫌疑人不僅沒被控制,反而連它究竟是男是女,是哪國人都沒有任何線索。艾略特知道,如果自己也解決不了這件事,那罪犯也許就要永遠逍遙法外了… …
時間一分一秒過去了,距離事件發生已經過去一個多月,艾略特如失蹤了一般,沒有人知道他在用什麼方法調查。而之前宣佈獨立調查的克萊布斯似乎也沒有得出結論。
Mirai 浮出水面,伴隨羞羞的日本動漫
撲朔迷離。
我們把目光再拉回到2017年10月21日。美國大斷網發生的那天。
這次襲擊,讓大洋彼岸的中國都有所震動,連百度指數都飈到了前所未有的高峰。
雖說連掃地大媽都在討論斷網事件,但是真正有能力為調查貢獻力量的能人,全世界並沒有幾個人。
●FBI 探員艾略特,擁有調查權,他可以要求美國境內的組織和個人配合調查;
●其他的商業公司,顯然沒辦法使用強制手段,他們想要貢獻力量的話,只能使用網路上公開的訊息進行分析溯源。但他們的優勢在於成熟安全團隊和久經考驗的分析能力。
●一些獨立調查者,和商業公司一樣,他們也只能接觸公開的資料,掌握的資源有限。
於是,全世界想要破案的人們,默默形成了一個「聯盟」,用對外發佈報告的形式為 FBI 的調查「隔空」提供訊息。
從技術上來看,要找到罪犯需要分成兩步:1、找到殭屍網路背後的那個可怕病毒。2、透過分析這個病毒程式碼試著溯源到背後的作者。
為了先找到背後的病毒,各家公司各顯神通。不到一天的時間裡,他們就透過資料分析出,這個殭屍網路的始作俑者,是一個月前剛剛聲名鵲起的病毒——Mirai。
在大斷網攻擊發生前的9月30日,駭客界口耳相傳著一件「大新聞」,一個名為 Mirai 的病毒原始碼被自稱作者的神秘帳戶完整地發佈在了網際網路上。這個病毒極其精巧,可以用來大規模控制網際網路上的Webcam和路由器。這樣一來,只要有一些程式碼基礎的「腳本小子」就可以透過這個原始文件改造出病毒變種,進而營造自己的殭屍網路,主導新的攻擊。如同殭屍片裡的病毒逃出實驗室一樣,這是一種可怕的失控。
那麼問題來了,作者為什麼要把自己的病毒原始碼公佈出來呢?
按照常理來說,共享病毒的原始碼,只會為病毒的作者帶來更多競爭者,這好像一家企業辛苦研發了一台手機,卻把設計圖毫無保留地公佈在了網路上。如果真的是作者本人把原始碼公佈出來,他的動機是什麼呢?如果公佈者並不是真正的作者,那麼他是怎麼拿到原始碼的呢?
這些謎團,直到最後才會被解開。在當時,人們只是從兩個名字裡,發現了一些有趣的事實。
Mirai
之所以把這個病毒稱為 Mirai,是因為在病毒程式碼中,作者悄然嵌入了「Mirai」這個並沒有實際意義的詞,所以顯然這是作者為病毒起的名字。人們馬上發現,Mirai 是一個日語詞彙,而在日本恰好有一部熱播的動漫《Mirai Nikki》,翻譯成中文就是《未來日記》。這部動漫故事的核心,是一個孤僻的國中生因為突然擁有了預知未來的能力而被捲入了一場生死遊戲。
看來,這個病毒在誕生的那一天,就已經被作者描繪了黑暗的未來。這個名字似乎隱喻著整個事件都是一個高智商犯罪,不禁讓人冷汗直流。
Anna-senpai
另外一個「巧合」是,把 Mirai 程式碼共享到網上的神秘人,使用的ID是「Anna-senpai」。
很多宅男一眼就看出, 這個名字就是「安娜前輩」,這是日本動漫《下流梗不存在的灰暗世界》裡一位女學生會主席,她起初清純,而後淫邪,成為反烏托邦的「旗手」。(為了寫這篇文章,我專門看了一集《下流梗不存在的灰暗世界》,原諒我不能在一句話裡把二次元世界的精髓完整展現… …)能夠看這個動漫的人,大概是一個重度中二男。
除此之外,別無他物。
「殭屍」變異,德國全境陷落
Mirai 的真兇仍然無解,但是劇情從不等人。僅僅一個月之後,新的恐慌已經來襲——病毒的變種四處開花。
2016年11月28日,德國電信商 Telekom 路由器遭到大規模入侵,德國境內2000萬台路由器被入侵,而在入侵的過程中,有90萬台在感染過程中就直接崩潰。這場攻擊幾乎波及了所有德國人,引起了巨大的恐慌。
全球的安全研究者馬上調轉注意力,他們紛紛懷疑這是 Mirai 作者的新一波進攻。然而,中國公司 360 在一天後給出的報告中指出了一個小問題。那就是,這次攻擊的病毒製造者看起來採用了新的感染方法,而這個新方法恰好可以讓安全研究員透過資料分析,追蹤到控制者的主控伺服器。
出乎意料的是,報告發出僅僅四個小時,360 收到了這個病毒的新版本,裡面的程式碼不僅進行了「升級」,還特別加入了一段特別的表白:「iloveyouthreesixty」(我愛你 360)。
與其說這是病毒作者對安全公司的挑釁,不如說這是他絕望的咒罵。因為僅僅一個多月以後,這位代號為「Bestbuy(百思買)」的作者就在英國被捕,引渡到德國受審。遺憾的是,他被證明不是 Mirai 的原作者。如你所料,他只是利用原作者在網上公開的原始碼進行了改造,產生了新的變種病毒。但他無疑成為了 Mirai 系列病毒被捕的第一人,這讓全世界的安全社群受到了不小的鼓舞。
根據 360 的報告,Bestbuy 很可能還和一次對賴比瑞亞電信商的攻擊有關。果然,Bestbuy 在庭上承認自己曾經收了一萬美金,幫助金主攻擊了賴比瑞亞電信商,事件的後果是:整個國家網路都為此癱瘓。
2017年9月,Bestbuy 案宣判,這位作者獲得了18個月的緩刑。這是一個相當輕的判決,意味著他只要不繼續作惡,就不必真正在監獄裡服刑。讓人哭笑不得的是,他剛剛乘坐飛機回到英國,就被英國警方迅雷不及掩耳盜鈴之勢扣押。因為「病毒不長眼」,他攻擊德國電信的病毒,一度已經透過網際網路蔓延到了英國和北愛爾蘭,造成了不小的損失。這是個小插曲。
與此同時, 世界各地都產生了無數 Mirai 新的變種,像殭屍一樣擴散著。此處篇幅有限,難以一一呈現。
真容,「安娜學姐」浮出水面
探員艾略特遇到的困難比想像中更大。
第一個要搞定的就是固定證據。為了證明「駭客利用病毒入侵了Webcam」這個簡單的事實,他在老家阿拉斯加向法院申請手續,然後挨家挨戶找到被感染的Webcam,詢問他們「有沒有授權別人控制自己的Webcam?」
第二個要做的,就是追根溯源。要找到 Mirai 背後的那個駭客,非常不容易。神秘駭客的反偵察能力很強,它的控制指令在全球很多伺服器多次跳轉,就像一個嫌犯混在火車站的人流裡,稍有不慎就會「跟丟」。
十二月的某一天,艾略特在追查中突然發現了一台位於法國的伺服器,這台伺服器雖然有嫌疑,但並沒什麼特別之處。但是就在一閃念,艾略特突然有了驚人的發現:這台伺服器上存儲了無數日本動漫。他腦海中閃現出 Mirai 作者的宅男形象,剎那間他覺得這台伺服器就是他一直苦苦尋找的。
2017年1月,調查記者克萊布斯終於發佈了一篇文章,他強烈懷疑兩個剛剛大學畢業的毛頭小子是 Mirai 的背後黑手。這兩個人分別為 Paras Jha 和 Josiah White。克萊布斯細數了懷疑他們的證據,雖然沒有實質證據,但公眾彷彿覺得克萊布斯單槍匹馬已經走到了 FBI 前面。他們不知道,這兩個人的照片早就已經掛在艾略特 FBI 的辦公室裡了… …
直到2017年12月13日,美國司法部突然公佈卷宗,人們才恍然大悟,原來案件已經被偵破。
具體的辦案過程,美國司法部守口如瓶。他們只給出了三名罪犯的名字:Paras Jha、Josiah White和 Dalton Norman 以及他們的罪行。文件顯示,這三個人是在2017年5月受到 FBI 指控的。沒錯,這三個人,被調查記者克萊布斯單槍匹馬揪出兩個,這哥們果然驍勇。
根據克萊布斯的調查,這三個人都畢業於 Rutgers campus 大學(這是美國電腦專業相當著名的學校),他們成立了一個專門從事「網路安全」的公司,Jha 任 CEO。他們對自己的母校非常「熱愛」,於是決定利用手裡的殭屍網路攻擊一下母校。於是,在大半年的時間裡, Rutgers campus 一直受到網路攻擊,以至於最後不得不增加 IT 建設成本,連學費都漲價了。事情的結局是,Jha 的公司賣給母校一套反網路攻擊的防護系統,天下太平… …
而在 Mirai 的製作中,這三個熱愛日本動漫的宅男分工是這樣的:
Paras Jha:寫了最開始的原始碼,負責建設「基礎設施」。他就是神秘的「Anna-Senpai」。
Josiah White:寫了一個精妙的掃瞄器,可以一次發出成千上萬的 Syn 封包,掃瞄網路的速度達到了之前的上千倍,這也是為什麼這個病毒可以快速感染百萬台設備的原因。
Dalton Norman:找到了4個和Webcam、路由器相關的零日攻擊(0-Day),可以進出這些設備如入無人之境。
他們利用 Mirai 病毒,迅速在全世界收割了上百萬台設備,這些設備聽命於他們,對外提供各種暗黑服務。
他們提供的服務包括:利用全世界各地的 IP 幫網站刷瀏覽量;收黑錢幫助金主發起 DDoS 攻擊;利用控制的殭屍網路比特幣挖礦;幫助黑色產業量搞金融機構....包山包海,這些服務幫他們賺了100個比特幣。(本來沒賺多少錢,但按照現在比特幣價格的漲勢,這些人犯罪所得數額可以用巨大來形容… …)
而構建殭屍網路的最初目標其實很簡單,他們想攻擊遊戲「我的世界」(MineCraft)的伺服器,進而可以玩遊戲開外掛… …
沒想到,他們對自己手中掌握的武器一無所知,李豐沛專門找到了一張圖片:一個小孩子手裡拿著火箭炮的圖片,來比喻這三個年輕人。他們一次攻擊就造成了美國東岸大斷網,這就好像本來只想開幾槍,結果不明所以地觸動了核武器。
在庭審中,Paras Jha 終於解開了一個謎團,他之所以化身「Anna-Senpai」把程式碼公佈在網上,是因為他想要推脫罪責。一旦將來自己落網,他可以辯稱自己的攻擊程式是下載來的,並不是病毒的原創者。但是,他的如意算盤顯然是落空了,因為 FBI 探員顯然找到了更強的鐵證,讓他們最終承認自己就是作者。
然而,這個故事還有一個未解之謎,那就是 Jha 最終也沒有承認對於克萊布斯的攻擊是他們幹的,雖然根據證據,這兩次攻擊源的重合比例達到了70%以上。
安全社群,沉默的幕後英雄
罪犯終於伏法,但整個事件並非你我想像的那麼簡單。
2017年12月,美國司法部卷宗披露以後,FBI 在推特中專門致謝了對這起案件偵破至關重要的幾個公司,包括 360、AT&T、Dyn(受害者終於報仇了)、Paterva、Paypal、ShadowServer。
360 作為離美國最遠的中國公司,居然排在第一名… …就連周鴻禕都轉發截圖。
這麼說來,360 難道為 FBI 提供了什麼了不起的破案證據嗎?
李豐沛說,360 在這次網路恐怖襲擊破案中,並沒有做什麼了不起的事情,唯一的工作就是不斷地研究不斷地發報告。從360網路安全實驗室的部落格來看,自從 Mirai 爆發,他們不斷地從資料中分析 Mirai 病毒活動的蛛絲馬跡。從美國斷網到德國電信斷網,再到病毒新變種,甚至還在攻擊前兩天就預測出殭屍網路的規模。
不過李豐沛說,真正讓 FBI 最終抓到罪犯的,是全世界安全社群的共同努力。至於名單的先後,顯然是按照數字到字母先後順序排列的,360 排在第一位,最主要的原因是名字起得好… …
李豐沛說,從純商業上來講,其實這件事情是「費力不討好」的。做這樣的資料分析,並不會帶來盈利收益,反而每篇報告都需要動用團隊十幾個人,花幾十個小時來做研究,同時需要大量的真金白銀投入才能獲得全球網際網路上產生的一手珍貴資料。如果從世俗的眼光來看,這麼多努力,最終獲得的不過是一句鳴謝,別無他物。不值。
不過,他卻從另一個角度解讀了自己的動機。
全世界,存在諸多隱秘的安全社群。表面上人們看到的是 FBI 一呼百應,各大公司提供力所能及的幫助。而實際上,這些組織內的安全研究員,都身處一個共同的安全社群。為了安全起見,他們從對外不透露自己的「組織關係」,卻在默默聯合著為這個世界的安全和底線貢獻著力量。
而根據可靠消息,那位 FBI 探員艾略特正是組織成員之一,他表面上孤立無援,實際上卻在背後不斷得到世界頂級安全大咖的支持。
這聽上去很神秘。
從另一個角度來講,凡是為這件事情貢獻力量的公司和個人,其實都身處這個巨大的安全社群裡,如果沒有歐洲各大安全公司的協作,德國電信攻擊者 Bestbuy不會這麼快落網;同樣,如果沒有Dyn、Paterva、Paypal、德國電信、法國伺服器公司和 360 等等全世界安全社群紛紛不計回報地貢獻力量,罪犯極有可能仍在逍遙法外。
但是,如果罪犯繼續逍遙法外,我們所有曾經旁觀的人,不都會成為下一個受害者嗎?
尾聲
駭客伏法,並不意味著 Mirai 的消亡。
Mirai 的每一段程式碼都已經被作者公開到網路上,在全球Webcam和路由器全體更新換代之前,任何一個駭客都有可能帶著變種的病毒捲土重來,Mirai 已經成為不死之身。
從 360 網路安全實驗室發佈的報告可以看出,就在兩週前的12月5日,他們剛剛偵測到 Mirai 的一個新變種在用新的方式傳播,而這個新變種將會造成多大的損失,沒人能夠準確預測。
數以億計的在角落裡虎視眈眈的 Mirai 病毒,已經讓我們的世界變得和以前不再一樣。之所以你我的生活看起來風平浪靜,只是因為全世界有比病毒更強大的無數熱愛安全的人們,在沉默地堅守。
由此,不僅 FBI 需要向默默無聞的安全社群致謝,每一個在網際網路上無憂無慮生活的人,都欠他們一個感謝。
- 本文授權轉載自淺黑科技
Simple is better than complex, please.