拯救了互联网的黑客的供词
8955字
2021-02-10 22:52
27阅读
火星译客

2017年8月一个安静的周三早上7点左右,马库斯·哈金斯(Marcus Hutchins)走出拉斯维加斯Airbnb豪宅的前门,过去一周半他一直在这里开派对。哈金斯是一名23岁的黑客,身高6英尺4英寸,长着一头金黄色卷发。他从Uber Eats的送货员那里取了一份巨无霸和薯条。但当他光着脚站在豪宅的车道上,只穿着t恤和牛仔裤时,哈金斯注意到一辆黑色的SUV停在街上,看起来很像FBI的监视。

他茫然地盯着这辆车,由于睡眠不足,他的头脑仍然很模糊,因为他整晚都在吸合法的内华达州物品而感到精神恍惚。有那么一瞬间,他在想:终于到了吗?

但这个想法一浮现,他就打消了这个念头。他对自己说,联邦调查局绝不会这么明目张胆。他的脚在车道上的烤盘上开始被烫伤了。于是他拿起麦当劳的包,走了进去,穿过豪宅的院子,进入了他一直用作卧室的泳池房。随着对SUV的恐惧完全从他的脑海中消失,他又吸了一口物品,一边吃着汉堡一边抽着,然后收拾行李前往机场,在那里他预定乘坐头等舱回英国。

哈钦斯刚刚结束了一个史诗般的、令人精疲力竭的一周,参加了世界上最大的黑客会议之一“黑客大会”(Defcon),在那里他被誉为英雄。不到三个月前,哈钦斯拯救了当时历史上最严重的网络攻击:一个名为“想哭”(WannaCry)的恶意软件。就在这个自我传播的软件开始在全球爆炸、摧毁数十万台电脑上的数据时,正是哈钦斯发现并触发了代码中包含的秘密终止开关,立即消除了“想哭”对全球的威胁。

这个白帽黑客的传奇壮举让哈金斯在防御大会上得到了终身免费的饮料。他和他的随行人员被邀请参加拉斯维加斯大道上的每一个黑客VIP派对,被记者带出去吃饭,被想要自拍的粉丝搭讪。毕竟,这个故事让人无法抗拒:哈钦斯是一个害羞的极客,他坐在父母位于英格兰西部偏远地区的卧室里的键盘前,单枪匹马地杀死了一个威胁整个数字世界的怪物。

哈金斯仍然沉浸在谄媚的旋风中,没有心情去担心联邦调查局,即使几个小时后他从豪宅里出来,再次看到同一辆黑色SUV停在街对面。后来的法庭文件显示,这辆越野车一路跟着他——事实上,执法部门在他在维加斯的这段时间里,定期跟踪他的位置。

当哈钦斯抵达机场,穿过安全检查站时,他很惊讶,当TSA的特工告诉他,在通过扫描仪之前,不要费心从背包里拿出他的三款笔记本电脑中的任何一台。 相反,当他们挥手让他通过时,他记得他们似乎在特别努力,不拖延他。

他悠闲地走到机场休息室,抓起可乐,坐在扶手椅上。 他还早了几个小时才飞回英国,所以他把时间从手机上传到Twitter上,写了一篇文章,写道,当他回到家时,回到自己的工作中分析恶意软件是多么的兴奋。 他在推特上写道:“一个多月来,我还没有碰过调试器。” 他对老板在维加斯给他买的一双非常昂贵的鞋子感到羞愧,并从他逆向工程工作的粉丝那里转发了一句恭维话。

哈金斯正在写另一条推文,这时他注意到有三个男人朝他走来,一个身材魁梧、留着山羊胡的红头发,旁边还有两个穿着海关和边境保护局制服的人。“你是马库斯·哈钦斯吗?”红头发的人问。当哈钦斯证实他是,那人以中立的语气要求哈钦斯跟他们一起走,并带他穿过一扇门进入一个私人楼梯井。

然后他们给他戴上手铐。

哈金斯大吃一惊,觉得自己仿佛在远远地看着自己,于是问发生了什么事。“我们会找到的,”男人说。

哈钦斯还记得他脑子里飞快地回想着他做过的每一件可能会引起海关注意的违法行为。当然,他想,不可能是那件事,那件多年来难以启齿的罪行。是他把物品留在包里了吗?这些无聊的探员是不是对私藏物品反应过度了?

特工们带他穿过一个布满监视器的安全区域,然后让他坐在审讯室里,让他一个人待着。当那个红头发的男人回来的时候,有一个金发的小个子女人陪着他。两名特工亮出了警徽:他们是联邦调查局的。

在接下来的几分钟里,特工们用友好的口吻询问哈金斯的教育背景和他工作的Kryptos Logic安全公司。在那几分钟里,哈钦斯让自己相信,特工们也许只是想更多地了解他在“想哭”上的工作,这只是一种特别激进的方式,目的是让他配合他们调查那场震撼世界的网络攻击。然后,在采访进行到11分钟时,审讯者问他关于一个名为Kronos的程序。

“克诺斯,”哈钦斯说。“我知道这个名字。他忽然醒悟过来,觉得有点麻木,他终究不是要回家。

早在14年前,马库斯•哈金斯(Marcus Hutchins)在人们眼中既不是英雄也不是坏人的时候,他的父母珍妮特(Janet)和德斯蒙德(Desmond)就在遥远的德文郡(Devon)一个养牛场的石屋里安顿下来,距离英格兰西海岸只有几分钟的路程。珍妮特是个护士,出生在苏格兰。戴斯蒙德是牙买加的一名社会工作者,1986年在夜总会第一次遇见珍妮特时,他曾是一名消防员。他们从伦敦30英里外的通勤小镇布拉克内尔(Bracknell)搬到这里,是为了寻找一个地方,让他们的儿子——9岁的马库斯(Marcus)和7岁的弟弟——能够在一个比伦敦轨道生活更纯真的环境中长大。

起初,农场提供的正是他们想要的那种田园诗:两个男孩整天都在奶牛中间嬉闹,看雇工给它们挤奶,为小牛接生。他们用多余的木头建造树屋和投石机,坐在租住他们房子的农民的拖拉机上。哈钦斯是一个聪明快乐的孩子,对友谊敞开心扉,但正如他的父亲德斯蒙德(Desmond)所说,他坚忍而“自成一团”,“对是非有很强的判断力”。他的父亲说,当他在比赛中摔倒并摔断手腕时,他没有流一滴眼泪。但当农夫放下一只瘸腿的、脑损伤的小牛时,他哭得很伤心。

在德文郡乡下,哈金斯和其他孩子总是合不来。他比其他男孩都高,也不像英国人那样迷恋足球;他更喜欢在离家几英里外冰冷的海水中冲浪。他是学校里为数不多的几个混血儿之一,而且他拒绝剪掉他那标志性的拖把般的卷发。

但最重要的是,让哈金斯与周围的人不同的是,他对电脑有着超乎寻常的迷恋和精通。从6岁起,哈钦斯就看到母亲在家里的戴尔(Dell)台式电脑上使用Windows 95。他的父亲常常很生气,因为他拆解了家里的个人电脑,或者在里面塞满了奇怪的程序。当他们搬到德文郡时,哈金斯已经开始对他访问的网站背后神秘的HTML字符感到好奇,并开始用Basic语言编写基本的“Hello world”脚本。用他的话说,他很快就把编程看作是“建造任何你想要的东西的门户”,甚至比他和他的兄弟建造的木制堡垒和弹弓更令人兴奋。“没有限制,”他说。

在计算机课上,他的同学们还在学习使用文字处理程序,哈金斯无聊得要命。学校的电脑阻止他安装他想玩的游戏,比如反恐精英和使命召唤,他们还限制了他可以在线访问的网站。但哈金斯发现他可以通过编程摆脱这些限制。在微软Word中,他发现了一个功能,可以让他用一种叫做Visual Basic的语言编写脚本。使用脚本功能,他可以运行任何他想要的代码,甚至安装未经批准的软件。他利用这一伎俩安装了一个代理,将他的网络流量通过一台遥远的服务器反弹,挫败了学校对他的网络冲浪也进行过滤和监控的企图。

在他13岁生日那天,经过多年在家里日渐老化的戴尔电脑上争取时间的斗争,哈金斯的父母同意给他买一台自己的电脑——更确切地说,是按照他的要求,一块一块地自己组装。很快,哈金斯的母亲说,电脑成为了一种“完全而彻底的爱”,它几乎支配了她儿子生活中的其他一切。

哈钦斯还在冲浪,而且他开始从事一项叫做冲浪救生的运动,一种有竞争力的救生员。他在这方面做得很出色,最终在国家级比赛中赢得了几枚奖牌。但当他不在水里的时候,他就会在电脑前玩电子游戏,或者连续几个小时不断地完善自己的编程技能。

珍妮特·哈金斯(Janet Hutchins)担心儿子对数字的痴迷。特别是,她担心网络的黑暗边缘,她半开玩笑地称之为“互联网恶魔”,可能会影响她的儿子,她认为儿子在他们的英国乡村生活中相对比较隐蔽。

所以她试图在马库斯的电脑上安装家长控制系统;当他启动电脑时,他用一种简单的技术获得了管理权限,然后立即关闭了控制。她试着通过家里的路由器限制他上网;他发现路由器进行了硬件重置,使他可以将其恢复到出厂设置,然后将路由器设置为让她离线启动。

“那之后我们聊了很久,”珍妮特说。她威胁说要彻底切断家里的网络连接。相反,他们达成了停战协议。“我们一致同意,如果他恢复我的互联网接入,我会用另一种方式监控他,”她说。但事实上,根本没有办法监视马库斯。因为他比我们任何人都要聪明得多。”

说明:詹妮尔巴龙

许多母亲对互联网魔王的担忧有些言过其实。珍妮特·哈金斯(Janet Hutchins)则不然。

在得到自己的电脑不到一年的时间里,哈钦斯就开始探索一个基本的黑客网络论坛,这个论坛致力于对当时流行的即时通讯平台MSN造成严重破坏。在那里,他发现了一个由志趣相投的年轻黑客组成的社区,他们在炫耀自己的发明。吹嘘之一创建一种MSN蠕虫假扮一个JPEG:当有人打开它,恶意软件会立即和无形发送所有MSN联系人,他们中的一些人会为诱饵和打开照片,这将启动新一轮的消息,无限。

哈钦斯并不知道这种蠕虫病毒的目的是什么——它是用于网络犯罪还是仅仅是一个垃圾邮件恶作剧——但他对此印象深刻。“我当时想,哇,看看编程能做什么,”他说。“我希望能够做这种事情。”

大约在他14岁的时候,哈金斯在论坛上发表了自己的贡献——一个简单的密码窃贼。把它安装到某人的电脑上,它就可以从ie浏览器存储的网址中提取受害者网络账户的密码,以实现其方便的自动填充功能。密码被加密了,但他也发现了浏览器把解密密钥藏在了哪里。

哈钦斯的第一个恶意软件得到了论坛的批准。 他认为谁的密码可能被他的发明偷走了? “我没有,真的,”哈钦斯说。 “我只是想,‘这是我做的一件很酷的事情。’”

当哈金斯的黑客生涯初具规模时,他的学术生涯却每况愈下。他会在晚上从海滩回到家,直接回到自己的房间,在电脑前吃东西,然后假装睡觉。在他的父母检查了他的灯是否关了之后,他自己也上床睡觉了,然后他就会回到他的键盘前。珍妮特说:“我们不知道,他会一直编程到凌晨。”第二天早上,当她叫醒他时,“他看上去很可怕。因为他才睡了半小时。哈金斯困惑的母亲一度非常担心,带着儿子去看医生,儿子被诊断为睡眠不足的青少年。

哈金斯15岁的时候,有一天在学校,他发现自己的网络账户被锁定了。几小时后,他被叫到学校行政人员的办公室。那里的工作人员指控他对学校的网络进行了一次网络攻击,致使一台服务器严重损坏,不得不更换。哈金斯强烈否认与此案有任何牵连,并要求查看证据。他说,管理人员拒绝分享。但那时,他已经因为藐视学校的安全措施而在学校的IT员工中臭名昭著。即使在今天,他仍然坚持认为自己只是一个最合适的替罪羊。“马库斯从来都不擅长撒谎,”他的母亲同意道。他很喜欢自吹自擂。如果是他干的,他会说他干的。”

哈金斯被停学两周,并被永久禁止在学校使用电脑。从那时起,他的回答就是尽可能少在那里呆上一段时间。他变成了一个十足的夜猫子,上学的时候一直睡得很好,而且经常逃课。他的父母非常愤怒,但除了他被困在母亲的车里、搭车上学或去冲浪的时候,他大部分时间都在逃避他们的训诫和惩罚。“他们不能拖着我去学校,”哈钦斯说。“我是个大块头。”

到2009年,哈钦斯一家搬离了农场,搬进了一所房子,这里曾经是一个只有一家酒吧的小村庄的邮局。马库斯住在楼梯顶上的一个房间里。他只是偶尔会从卧室出来,用微波炉加热冷冻披萨,或者为自己做更多速溶咖啡,以满足他的深夜节目狂欢。但在大多数情况下,他都把自己的门关着,锁着,不让父母进去,因为他更深入地探索自己的秘密生活,而他们并没有被邀请。

大约在同一时间,哈金斯经常光顾的MSN论坛被关闭了,于是他转到另一个名为HackForums的社区。它的成员在技术上要先进一些,在道德上也要阴暗一些:一个由年轻黑客组成的“苍蝇王”(Lord of the Flies)团队,试图用虚无主义的剥削本领给彼此留下深刻印象。最低赌注从HackForums人群获得尊重是僵尸网络,成百上千的电脑被恶意软件感染的集合,听从一个黑客的命令,能够指导垃圾流量对手洪水web服务器和把他们什么是分布式拒绝服务,或DDoS攻击。

在这一点上,哈金斯田园诗般的英国乡村生活和他秘密的赛博朋克生活没有交集,没有现实的制约阻止他接受他即将进入的黑社会的非道德氛围。因此,年仅15岁的哈钦斯很快就在论坛上吹嘘自己在8000多台电脑上运行僵尸网络,其中大部分是用他上传到BitTorrent网站的简单伪造文件进行黑客攻击,并欺骗不知情的用户运行。

更有野心的是,哈钦斯还创办了自己的公司:他开始租用服务器,然后以每月收费的方式向HackForums的用户出售网络托管服务。这家被哈钦斯称为“Gh0sthosting”的企业在HackForums上明确宣称自己是一个允许“所有非法网站”存在的地方。他在另一篇文章中表示,买家可以使用他的服务托管仿冒登录页面的钓鱼页面,并窃取受害者的密码。

但哈钦斯说,在他十几岁的时候,他仍然认为自己所做的事情离真正的网络犯罪只有几步之遥。托管可疑的服务器,或者窃取一些Facebook的密码,或者利用被劫持的电脑发动DDoS攻击来攻击其他黑客——这些似乎都不像是能让他得到执法部门注意的严重罪行。毕竟,哈金斯并没有实施银行诈骗,也没有从无辜的人那里偷钱。至少他是这么告诉自己的。他说,金融欺诈的红线尽管武断,但在他自己定义的、不断变化的道德准则中仍然不可侵犯。

事实上,不到一年,哈钦斯就对他的僵尸网络和主机托管服务感到厌倦,他发现这涉及到安抚很多“牢骚满腹的客户”。所以他辞掉了这两种工作,开始专注于他更喜欢的事情:完善自己的恶意软件。很快,他就开始破解其他黑客的rootkit——旨在改变计算机操作系统使其完全无法被检测的程序。他研究了它们的特性,并学会了将他的代码隐藏在其他计算机进程中,从而使他的文件在计算机的文件目录中不可见。

当哈钦斯发布了一些示例代码来展示他不断增长的技术时,黑客论坛的另一位成员对哈钦斯印象深刻,他要求哈钦斯编写一个程序的一部分,以检查特定的防病毒引擎是否能检测出黑客的恶意软件,这是一种反病毒工具。在这项任务中,哈金斯获得了早期数字货币自由储备基金(Liberty Reserve)的200美元报酬。这位客户随后又出价800美元购买哈钦斯编写的“formgrabber”,这是一种可以悄悄窃取人们在网络表单中输入的密码和其他数据并将它们发送给黑客的rootkit。他高兴地接受了。

哈钦斯开始以一个有才华的恶意软件代笔人而闻名。后来,在他16岁的时候,一个更严肃的客户来找他,这个年轻人后来认识了一个化名文尼(Vinny)的人。

文尼给了哈钦斯一个建议:他想要一个多功能的、维护良好的rootkit,他可以在黑客市场上出售,比如Exploit,这个市场比黑客论坛专业得多。Dark0de。而不是预先支付代码的费用,他会把每笔交易的一半利润分给哈金斯。他们将这种产品命名为UPAS Kit,以爪哇的UPAS树命名,这种树的有毒汁液在东南亚传统上被用来制作毒镖和毒箭。

文尼似乎与哈金斯在黑客地下组织其他地方遇到的那些吹牛者和想要成为黑客的人不同——他更加专业,守口如口,即使他们聊得越来越频繁,也从不透露自己的任何个人细节。哈金斯和文尼都很小心,从不记录他们的谈话,哈金斯说。(因此,《连线》没有他们互动的记录,只有哈钦斯对他们的描述。)

哈钦斯说,他一直小心翼翼地隐藏自己在网上的行动,通过多个代理服务器和东欧的电脑网络连接,目的是迷惑任何调查人员。但他并没有像文尼那样严格地保守自己私生活的秘密。在一次谈话中,哈钦斯向他的生意伙伴抱怨说,在他所在的英格兰乡村深处的村子里,找不到高质量的他们所需要的东西。文尼回答说,他会从一个名为“丝绸之路”(Silk Road)新电子商务网站给他寄一些。

那是2011年,丝绸之路还处于起步阶段,臭名昭著的暗网毒品市场大多只被地下网络的人知道,而不是后来发现它的大众。哈金斯本人认为这是一个骗局。“胡说,”他记得他曾写信给文尼。“证明它”。

于是文尼要了哈金斯的地址和他的出生日期。他说他想送他一份生日礼物。哈金斯马上就会后悔的,他提供了两种建议。

哈金斯17岁生日那天,他父母家收到了寄给他的包裹。里面是一堆大迷幻蘑菇和其他类似的物品,都是他神秘的新伙伴提供的。

说明:詹妮尔巴龙

经过近9个月的努力,哈钦斯完成了UPAS工具包的编写。2012年夏天,这个rootkit开始出售。哈金斯没有问文尼是谁买的。他很高兴自己从一个HackForums的卖弄者升级为一个工作受欢迎的专业程序员。

这笔钱也很不错:温尼开始从UPAS的套件销售中付给哈钦斯数千美元的佣金——总是用比特币——哈钦斯发现自己有了第一份真正的可支配收入。他升级了自己的电脑,为房间买了一台Xbox和一套新的音响系统,并开始涉足比特币日内交易。那时,他已经完全辍学了,教练退休后,他也放弃了冲浪救生。他告诉父母,他在做自由职业编程项目,这似乎让他们很满意。

随着UPAS Kit的成功,文尼告诉哈金斯,是时候开发UPAS Kit 2.0了。他希望这个续作有新的功能,包括可以记录受害者每一次按键的键盘记录器,以及能够看到他们的整个屏幕。最重要的是,他想要一个能在受害者看到的页面中插入虚假文本输入框和其他内容的功能——一种叫做网络注入的功能。

他说,最后那个要求特别让哈金斯感到不安。在哈钦斯看来,网络注射有一个非常明确的目的:它们是为银行诈骗而设计的。大多数银行在转账时需要第二个认证因素;他们通常会通过短信向用户的手机发送一段代码,然后要求用户在网页上输入代码,以再次验证他们的身份。网络注入可以让黑客们用诡计来击败安全措施。黑客从受害者的账户发起银行转账,然后,当银行向黑客索要确认码时,黑客会在受害者的屏幕上注入一条虚假信息,要求他们用短信代码例行地重新确认身份。当受害者用手机输入密码后,黑客就会把密码传到银行,确认转账成功。

在短短几年时间里,哈钦斯在网络犯罪这条没有灯光的隧道里迈出了如此多的小步骤,以至于他常常忘记了自己正在越过的那条线。但哈金斯说,在与文尼的即时通讯对话中,他可以看出他被要求做一件非常错误的事情——毫无疑问,他现在会帮助小偷从无辜的受害者那里偷东西。通过参与实际的金融网络犯罪,他还会以一种他从未有过的方式吸引执法部门的注意。

在那之前,哈钦斯一直认为,他的发明可能只是被用来窃取人们的Facebook账户,或建立僵尸网络,在人们的个人电脑上挖掘加密货币。“我从来不知道我的代码到底发生了什么,”他说。但现在很明显了。这将被用来偷别人的钱。这将被用来抹去人们的储蓄。”

他说他拒绝了文尼的要求。“我他妈不是在研究银行木马,”他回忆道。

文尼坚持道。他还补充说,他知道哈金斯的身份和住址。哈金斯把这句话理解为玩笑和威胁,两者是同等重要的。如果他们的业务关系结束,也许他会把这些信息分享给联邦调查局。

哈钦斯说,他既害怕又对自己生气:他天真地把身份细节告诉了一位后来被证明是残忍罪犯的合伙人。但他坚持自己的立场,威胁要离开。文尼知道自己需要哈钦斯的编程技能,似乎也让步了。他们达成了一项协议:哈金斯将致力于UPAS工具包的改版,但不需要网络注入。

在接下来的几个月里,他开发出了下一代rootkit,之后他开始上当地的一所社区大学。他与一位计算机科学教授建立了联系,并惊讶地发现自己真的想毕业。但在学习的同时,他也在构建和维护Vinny的恶意软件。他的商业伙伴现在似乎对完成新的rootkit非常不耐烦,他不断地给哈钦斯发信号,要求他进行更新。为了解决这个问题,哈金斯开始回到丝绸之路,在暗网上购买提神并防止疲劳的药品来代替他夜间的咖啡狂欢。

经过9个月的通宵编程,UPAS工具包的第二个版本已经准备好了。但他说,哈金斯一把完成的代码分享给文尼,文尼就做出了一个令人惊讶的回应:他秘密雇佣了另一个程序员来创建哈金斯拒绝创建的网络注入。结合这两位程序员的工作,文尼已经具备了制作一个功能齐全的银行木马所需的一切。

哈金斯说,他感到愤怒,无言以对。他很快就意识到他对文尼没什么筹码。恶意软件已经写好了。在很大程度上,是哈金斯写的。

在那一刻,哈金斯多年来一直回避的所有道德担忧和惩罚威胁,突然让他幡然醒悟。他记得当时是这样想的:“这是无法摆脱的。”“总有一天,联邦调查局会拿着逮捕令出现在我门前。因为我相信了这家伙"

不过,尽管哈金斯被文尼迷惑得团团转,他还是有一个选择。

Vinny希望他做的工作是将其他程序员的网络注入到他们的恶意软件中,然后测试rootkit,并在它启动后进行更新来维护它。哈金斯说,他本能地知道,他应该走开,再也不要和文尼联系。但正如哈钦斯所说,文尼似乎一直在为这次谈话做准备,他提出了一个论点:哈钦斯已经投入了近九个月的工作。他实际上已经建立了一个银行rootkit,并将出售给客户,不管哈钦斯喜不喜欢。

此外,哈金斯的收入仍然是佣金。如果他现在辞职,他什么也得不到。他会承担所有的风险,足以牵连到犯罪中,但却得不到任何回报。

虽然哈金斯很生气自己落入了文尼的圈套,但他承认自己也被说服了。于是,他又为自己十几岁时做出的一连串错误决定加上了一条线索:他同意继续代写维尼的银行恶意软件。

哈钦斯开始工作,将网络注入到他的rootkit中,然后在程序发布前进行测试。但现在他发现自己对编程的热爱已经消失了。他会尽可能地拖延,然后沉浸在一整天的编程狂欢中,无视他对提神的药品的恐惧和内疚。

2014年6月,rootkit准备就绪。文尼开始在网络犯罪市场上销售他们的作品。Dark0de。后来,他还把它放在阿尔法湾(AlphaBay)上出售。阿尔法湾是暗网中的一个网站,在美国联邦调查局(FBI)将最初的暗网市场拆除后,这个网站取代了丝绸之路。

在与被抛弃的客户发生争执后,维尼决定改换品牌,放弃UPAS品牌。相反,他想出了一个新绰号,这是对宙斯(Zeus)的模仿,宙斯是网络犯罪史上最臭名昭著的银行木马之一。文尼以希腊神话中一个残忍的巨人的名字为他的恶意软件命名,这个巨人是宙斯和奥林匹斯山众神中所有复仇心切的神的父亲:他叫它克洛诺斯。

哈金斯19岁时,全家又搬到了德文郡另一个维多利亚海滨度假小镇Ilfracombe的一座18世纪的四层建筑里。哈钦斯住进了房子的地下室,可以进入他自己的浴室和一间厨房,那间厨房曾经是房子的仆人们使用的。这样的安排让他进一步切断了与家人和世界的联系。他比以往任何时候都更加孤独。

当克罗诺斯推出的时候。这个恶意软件只取得了适度的成功。该网站上主要由俄罗斯人组成的黑客社区对文尼持怀疑态度,因为文尼不会说俄罗斯人的语言,并将该木马定价为7000美元。像任何新软件一样,Kronos也有需要修复的漏洞。客户要求不断的更新和新的功能。于是,哈钦斯被要求在接下来的一年里不停地编写代码,现在截止日期很紧,愤怒的买家要求他完成。

为了跟上进度,同时还要努力完成大学最后一年的学业,哈金斯大幅增加了提神的药品的摄入量。他会以足够的速度达到他所说的欣快状态。他说,只有在这种情况下,他才能继续享受自己的编程工作,避开日益增长的恐惧。他说:“每次我听到警笛声,我都以为它是冲着我来的。”用更多的药品兴奋来消除这些想法,他会连续几天不睡,学习和编程,然后陷入焦虑和抑郁的状态,然后再睡上24小时。

在狂躁的高潮和痛苦的低谷之间的所有的弹弓对哈钦斯的判断造成了损害——最明显的是他与另一个他称为兰迪的网友的互动。

克罗诺斯被释放后,哈金斯在黑客论坛TrojanForge上遇到了兰迪,兰迪问哈金斯是否愿意为他编写银行恶意软件。当哈钦斯拒绝后,兰迪转而就一些他试图作为合法企业推出的企业和教育应用程序寻求帮助。哈金斯发现有办法用合法收入来洗钱,于是同意了。

兰迪证明是一位慷慨的赞助人。当哈钦斯告诉兰迪,他没有MacOS电脑来处理苹果应用程序时,兰迪向他要了地址——哈钦斯再次提供了地址——并送了他一台新的iMac台式机作为礼物。后来,他问哈金斯是否有一台PlayStation游戏机,这样他们就可以在网上一起玩游戏了。当哈钦斯说他没有的时候,兰迪也给他寄了一台新的PS4。

与文尼不同的是,兰迪对自己的私生活十分坦率。当他和哈钦斯走得越来越近时,他们会互相打电话,甚至进行视频聊天,而不是通过哈钦斯习惯的那种没有面孔的即时消息交流。兰迪向哈钦斯描述了他的慈善目标,以及他如何利用自己获得的利润资助慈善事业,比如为儿童提供免费编程教育项目,这些给哈钦斯留下了深刻印象。哈金斯意识到,这些利润大部分来自网络犯罪。但他开始把兰迪视为一个罗宾汉式的人物,一个他希望有一天能效仿的榜样。兰迪透露,他住在洛杉矶,那是哈金斯一直梦想生活的阳光天堂。在某些时候,他们甚至讨论过搬到一起住,在南加州海滩附近的房子里创业。

兰迪非常信任哈钦斯,当哈钦斯描述他的比特币日内交易技巧时,兰迪给他发送了价值超过1万美元的加密货币,让他代表他进行交易。哈钦斯建立了自己的定制代码程序,用卖空来对冲他的比特币购买,保护他的资产不受比特币剧烈波动的影响。兰迪要求他用同样的方法管理自己的资金。

2015年夏天的一个早晨,哈金斯在服用安非他明后醒来,发现晚上停电了。就在比特币价格暴跌时,他所有的电脑都关机了,兰迪的积蓄蒸发了近5000美元。当哈金斯的药物使用周期接近尾声时,他开始恐慌起来。

他说他在网上发现了兰迪,并立即承认自己丢了钱。但为了弥补损失,他给了兰迪一个提议。哈钦斯透露,他是一个名为Kronos的银行rootkit的秘密作者。他知道兰迪过去一直在寻找银行欺诈恶意软件,于是给了兰迪一个免费的拷贝。兰迪总是理解我,说这是扯平了。

这是哈钦斯第一次把他对克罗诺斯的研究透露给别人。第二天醒来,头脑清醒了一些,他知道自己犯了一个严重的错误。坐在自己的卧室里,他想起了兰迪在前几个月里不经意间和他分享的所有个人信息,他意识到他刚刚把他最危险的秘密泄露给了一个操作安全系统存在严重缺陷的人。兰迪迟早会被执法部门抓住,而他很可能也会向警察坦白。

哈金斯已经开始认为,他最终因网络犯罪被捕是不可避免的。但现在他能看到联调局的人找他的路了。“该死,”哈金斯心想。“结局就是这样。”

说明:詹妮尔巴龙

2015年春天,哈金斯大学毕业时,他觉得是时候戒掉提神的药物了。所以他决定彻底戒掉。

一开始,戒断症状使他陷入了以前多次经历过的抑郁低潮。但几天后的一个晚上,当他独自在房间里看英国青少年剧《滑铁卢之路》时,他开始感到一种黑暗的感觉袭上心头——他形容为一种“末日即将来临”的无所不有的感觉。理智上,他知道自己没有任何身体危险。然而,“我的大脑告诉我,我就要死了,”他回忆道。

他没有告诉任何人。相反,他只是独自度过了戒断期,经历了他所说的多日恐慌发作。当文尼要求知道他为什么在克罗诺斯的功课上落后时,哈金斯说,他发现说他仍然忙于学业要比承认他陷入了令人衰弱的焦虑更容易。

但随着他的症状逐渐加重,在接下来的几周里,他的工作效率变得更低,他发现他那咄咄逼人的商业伙伴似乎不再那么困扰他了。骂了他几句之后,文尼离开了。用比特币支付克罗诺斯佣金的交易结束了,把哈金斯拉进网络罪犯一生中最黑暗岁月的合伙关系也随之结束。

在接下来的几个月里,哈金斯除了躲在自己的房间里康复外,什么也没做。他玩电子游戏,狂看《绝命毒师》。他很少出门,有时会去海里游泳,有时会加入一群风暴追逐者,他们会聚集在Ilfracombe附近的悬崖上,观看50到60英尺高的海浪猛击岩石。哈金斯还记得,他很享受海浪让他感觉如此之小,想象着海浪的原始力量可以瞬间杀死他。

好几个月后,哈金斯的那种即将到来的厄运感才逐渐减弱,甚至在那时,这种感觉也被一种间歇性的、根深蒂固的焦虑所取代。随着他的工作渐趋平稳,哈金斯开始重新钻研黑客的世界。但他已经对网络黑社会犯罪失去了兴趣。相反,他回头看了自己在2013年开始写的博客,那是他从中学辍学到上大学的那段时间。

这个网站被称为MalwareTech,同时也是哈金斯的笔名,因为他开始发布大量关于恶意软件技术细节的帖子。博客的临床、客观的分析似乎很快就吸引了“黑帽”和“白帽”的访问者。“这是一种中立的立场,”他说。“比赛双方都很享受。”

有一次,他甚至写了一篇关于网络注入的深度分析,这正是Kronos的特点,让他非常焦虑。在其他一些更顽皮的帖子中,他指出了竞争对手恶意软件的漏洞,这些漏洞会让受害者的电脑被其他黑客霸占。很快,他就拥有了超过1万名固定读者,他们似乎都不知道MalwareTech的见解来自他自己编写恶意软件的活跃历史。

在克罗诺斯之后的康复年里,哈金斯开始对一些大型僵尸网络进行逆向工程,这些网络被称为Kelihos和Necurs。但他很快就更进一步,意识到他实际上可以加入那些被劫持的机器群,从内部为读者分析它们。例如,Kelihos僵尸网络被设计成从一台受害计算机向另一台发送命令,而不是从中央服务器发送命令——一种点对点架构,旨在使僵尸网络更难被摧毁。但这意味着哈钦斯可以模仿自己的程序代码Kelihos恶意软件和“说”的语言,并使用它来监视所有其他的僵尸网络的业务他打破了过去所有的困惑僵尸网络的设计师已经设计出防止那种窥探。

利用这种稳定的情报流,哈钦斯建立了一个克里霍斯僵尸网络“追踪器”,在一个公共网站上绘制出它在世界各地诱捕的数十万台电脑的地图。不久后,洛杉矶小型网络安全公司Kryptos Logic的首席执行官、企业家萨利姆·内诺(Salim Neino)给MalwareTech发了一封电子邮件,询问这位匿名博主是否可以为他们做些工作。该公司希望创建一个僵尸网络跟踪服务,如果受害者的IP地址出现在像Kelihos这样的黑客机器集合中,就会发出警报。

事实上,该公司已经要求一名员工进入Kelihos内部,但这名员工告诉尼诺,对代码进行反向工程将花费太多时间。在没有意识到自己在做什么的情况下,哈钦斯已经解开了互联网上最不可思议的僵尸网络之一。

尼诺给哈金斯1万美元,让他建造自己的Kryptos Logic追踪器。在找到第一份工作的几周内,哈钦斯也为第二个僵尸网络建立了一个跟踪器,这个僵尸网络是一个更大、更古老的被黑客攻击的个人电脑的组合,名为Sality。在那之后,Kryptos Logic公司向哈钦斯提供了一份年薪六位数的工作。当哈金斯看到这些数字是如何分解的,他想尼诺一定是在开玩笑。“什么?他回忆道。“你每个月都要给我寄这么多钱吗?”

这比他作为一个网络犯罪恶意软件开发者挣的钱还要多。哈金斯意识到现代网络安全行业的现实已经太迟了:对于一个在西方国家有才能的黑客来说,犯罪真的是不值得的。

在他进入Kryptos Logic公司的头几个月里,哈钦斯进入了一个又一个巨大的僵尸网络:Necurs、Dridex、emoet——恶意软件网络总共包含了数百万台电脑。即使他在Kryptos的新同事认为僵尸网络是坚不可摧的,哈钦斯也会拿出一个新的僵尸代码样本,给他们一个惊喜,这些代码通常是由他的博客读者分享给他的,或者是由一个地下来源提供的。他一次又一次地解构这个程序——仍然在他在ilfracomi的卧室里工作——使公司能够接触到一群新的僵尸机器,跟踪恶意软件的传播,并向黑客的受害者发出警报。

“在僵尸网络研究方面,他当时可能是世界上最好的科学家之一。到第三或第四个月,在他的帮助下,我们已经追踪到了世界上每一个主要的僵尸网络。“他把我们带到了另一个层次。”

哈钦斯继续在他的MalwareTech博客和Twitter上详述他的工作,在那里,他开始被视为一个精英的恶意软件窃窃私语者。“归根结底,他是一个颠倒的专家,”杰克•威廉姆斯(Jake Williams)说。威廉姆斯曾是美国国家安全局(NSA)的黑客,后来成为安全顾问。“从原始的技术水平来看,他已经是出类拔萃了。他可以和我在任何地方共事过的最好的一些人相媲美。然而,除了他在Kryptos Logic的同事和几个亲密的朋友,没有人知道MalwareTech的真实身份。和威廉姆斯一样,哈金斯的成千上万的粉丝中,大多数人只知道他是一只戴着太阳镜的波斯猫,哈金斯把这只波斯猫当做自己的推特头像。

2016年秋,一种新型僵尸网络出现了:一种名为Mirai的恶意软件开始感染所谓的物联网设备——无线路由器、数字录像机和安全摄像头——并将它们捆绑成大规模的僵尸网络,能够进行强大得令人震惊的DDoS攻击。在那之前,史上最大的DDoS攻击以每秒几百吉比特的流量攻击目标。现在受害者受到的冲击更像是每秒1太比特,巨大的垃圾流量,可能会让沿途的任何东西掉线。更糟糕的是,名为Anna-Senpai的黑客Mirai的作者在黑客论坛上发布了恶意软件的代码,并邀请其他人创建自己的Mirai分支。

同年9月,一次Mirai攻击以每秒超过600gb的速度攻击了安全博主布莱恩·克雷布斯(Brian Krebs)的网站,导致他的网站立即瘫痪。不久之后,法国主机托管公司OVH在1.1太比特每秒的洪流下崩溃了。今年10月,另一波浪潮冲击了域名系统服务器提供商Dyn,该公司充当互联网电话簿的角色,将域名转换为IP地址。Dyn倒闭后,北美和欧洲部分地区的亚马逊、Spotify、Netflix、贝宝和Reddit的用户也跟着倒闭了。大约在同一时间,Mirai袭击了利比里亚大部分地区的主要电信供应商,导致该国大部分地区无法上网。

一向热衷追逐风暴的哈钦斯开始追踪未来的海啸。他和Kryptos Logic公司的一位同事挖出了Mirai的代码样本,并利用它们创建程序,渗透到分裂的Mirai僵尸网络,拦截它们的命令,并创建一个Twitter feed,实时发布它们的攻击新闻。然后,在2017年1月,袭击利比里亚的Mirai僵尸网络开始对英国最大的银行劳埃德银行(Lloyds)进行大量网络攻击,在一场明显的敲诈活动中,该银行的网站在几天内多次关闭。

多亏了他的Mirai追踪器,哈钦斯可以看到是哪台服务器发出命令,把僵尸网络的火力训练到劳埃德银行;这台机器似乎是用来运行ddos出租服务的。在那台服务器上,他发现了管理服务器的黑客的联系信息。哈钦斯很快在即时通讯服务Jabber上找到了他,并使用了“popopret”这个名字。

所以他让黑客停下来。他告诉popopret,他知道自己对劳埃德银行遭受的攻击没有直接责任,他只是出售Mirai僵尸网络的访问权限。然后他给他发了一系列信息,其中包括劳埃德银行账户被锁定的客户在Twitter上的帖子,其中一些人被困在国外,没有钱。他还指出,银行被指定为英国的关键基础设施,这意味着,如果攻击继续下去,英国情报机构可能会追踪到僵尸网络管理员。

针对银行的DDoS攻击结束了。一年多后,哈金斯在他的推特上讲述了这个故事,并指出他并不惊讶黑客最终听从了理性。在他的推文中,哈金斯罕见地暗示了他自己的秘密过去——他知道坐在键盘后面是什么感觉,远离了互联网上给无辜者带来的痛苦。

他写道:“在我的职业生涯中,我发现很少有人是真正邪恶的,大多数人只是与自己行为的影响太过脱节。”“直到有人把它们重新连接起来。”

2017年5月12日中午,正如哈钦斯是罕见的一周的假期开始,亨利琼斯坐在以东200英里的集群中六个电脑在皇家伦敦医院行政房间,一个主要的外科手术和创伤中心东北伦敦,当他看到的第一个迹象是非常错误的。

琼斯是一名年轻的麻醉师,他向《连线》杂志(WIRED)匿名询问,当时他正从医院自助餐厅吃完一顿鸡肉咖喱和薯条的午餐,试图在被召回手术室之前查看自己的电子邮件,他在手术室与一名更资深的同事换班。但他无法登录;电子邮件系统好像坏了。他和房间里的其他医生一起抱怨了几句,他们都已经习惯了国家医疗服务系统的电脑问题;毕竟,他们的个人电脑还在运行Windows XP,这是一种已经使用了近20年的操作系统。“又要去皇家伦敦了,”他回忆道。

但就在这时,一名IT管理员走进病房,告诉员工有一件更不寻常的事情发生了:一种病毒似乎正在医院的网络中传播。房间里的一台电脑重新启动了,现在琼斯可以看到它显示了一个红色屏幕,在左上角有一个锁。“哎呀,你的文件被加密了!”“这阅读。在屏幕底部,它要求用户支付300美元的比特币才能解锁机器。

琼斯还没来得及思索这个消息,就被叫回了手术室。他擦了擦,戴上口罩和手套,回到了手术室,那里的外科医生刚刚完成了一项整形手术。现在琼斯的工作是再次叫醒病人。他开始慢慢地关掉一个拨号盘,锥形七氟醚蒸汽送入病人的肺,试图准确地时间过程,这样病人就不会醒来之前,他有机会把呼吸管,但不会停留足够长的时间延迟下一个手术。

当他专注于这项任务时,他可以听到外科医生和护士在记录手术结果时表达的沮丧:手术室的台式电脑似乎死了。

琼斯把病人叫醒完毕,洗净身子。但当他走进走廊时,外科手术室的经理拦住了他,告诉他当天剩下的所有病例都被取消了。一场网络攻击不仅袭击了整个医院的网络,还袭击了整个信托机构,即伦敦东部的五家医院。他们所有的电脑都瘫痪了。

琼斯感到震惊,隐隐感到愤怒。这是一起针对多家NHS医院的协同网络攻击吗?由于没有病人要看病,接下来的几个小时里,他无所事事,帮助IT人员拔掉伦敦皇家酒店(Royal London)周围的电脑。但直到他开始用iPhone关注新闻,他才了解到损失的全面程度:这不是一次有针对性的攻击,而是一种在互联网上传播的自动蠕虫病毒。在几个小时内,它袭击了600多家医生的办公室和诊所,导致2万名预约被取消,并擦拭了数十家医院的机器。在这些设施中,手术被取消,救护车被从急救室转移,有时迫使生命垂危的病人等待关键的几分钟或几小时才能得到治疗。琼斯意识到一个残酷的事实:“人们可能因此而死亡。”

网络安全研究人员将这种蠕虫病毒命名为“想哭”(WannaCry),以它在加密文件后添加到文件名中的。wncry扩展名命名。机器瘫痪,并要求其比特币赎金,WannaCry跳从一台机器到另一个使用一个强大的代码段,称为EternalBlue被盗了国家安全局的一群黑客称为影子经纪人和泄露到一个月前开放的互联网。它立即允许黑客侵入并在任何未打补丁的Windows电脑上运行恶意代码——一组可能数以百万计的潜在目标。现在,美国国家安全局高度精密的间谍工具已经武器化,它似乎注定要在数小时内制造一场全球勒索病毒大流行。

当时在英国电信(British Telecom)工作、负责英国国家医疗服务体系(NHS)事故应对任务的一位网络安全分析师表示:“这在网络上相当于观看车祸前的瞬间。”“我们知道,就对人们生活的影响而言,这将是我们以前从未见过的。”

随着蠕虫病毒蔓延到世界各地,它感染了德国铁路公司、俄罗斯联邦储蓄银行、汽车制造商雷诺、日产和本田、中国的大学、印度的警察部门、西班牙电信公司Telefónica、联邦快递和波音公司。据估计,在一个下午的时间里,它摧毁了近25万台计算机的数据,造成40亿至80亿美元的损失。

对于那些看着“想哭”不断壮大的人来说,似乎还有更多的痛苦要来。乔什·科曼,当时cybersecurity-focused研究员大西洋理事会,记得加入一个叫5月12日下午与代表美国国土安全部,卫生和人类服务部,默克制药公司,高管们从美国医院。这个名为“医疗网络安全行业工作组”(Healthcare Cybersecurity Industry Taskforce)的组织刚刚完成了一项分析,详细说明了美国医院严重缺乏IT安全人员的问题。现在,“想哭”似乎要蔓延到美国的医疗体系,科曼担心结果会比NHS糟糕得多。“如果这种情况大规模发生,会有多少人死亡?”他回忆道。“我们最可怕的噩梦似乎就要成真了。”

那个星期五下午2:30左右,马库斯·哈钦斯(Marcus Hutchins)从他在Ilfracombe当地的炸鱼薯条店买午餐回来,坐在电脑前,发现互联网着火了。哈钦斯在推特上写道:“我他妈的选了一个星期来休假。”

几分钟后,一位化名卡芬(Kafeine)的黑客朋友给哈钦斯发送了一份“想哭”的代码副本,哈钦斯开始尝试分析它,他的午餐还摆在面前。首先,他在自己卧室里运行的一台服务器上运行了一台模拟计算机,上面有假文件供勒索软件加密,然后在那个隔离的测试环境中运行程序。他立即注意到,在加密诱饵文件之前,恶意软件发送了一个查询到一个非常随机的网址:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

这对哈钦斯来说意义重大,如果不是不寻常的话:当一个恶意软件ping回这类域名时,通常意味着它正在与某个可能向受感染计算机发出指令的命令控制服务器通信。哈钦斯将这个长长的网站字符串复制到他的浏览器中,令他吃惊的是,没有这样的网站存在。

于是他访问了域名注册商Namecheap,在下午3点08分过4秒的时候,以10.69美元的价格注册了这个不起眼的网址。哈钦斯希望,通过这样做,他或许能够从恶意软件的开发者那里盗取“想哭”受害计算机群的部分控制权。或者至少他可以获得一个工具来监控受感染机器的数量和位置,恶意软件分析师称这种举动为“下沉”。

0 条评论
评论不能为空