三名年輕的駭客建造了一個網路殺戮怪物

Author Avatar

OctoVerse

Joined: Feb 2022

Netflix,Spotify,Twitter,PayPal,Slack。全面當機。一群青少年朋友如何陷入網路犯罪並破壞網際網路,然後為FBI工作。

 2016年10月21日清晨,史考特·夏皮羅(Scott Shapiro)起床後,打開戴爾筆記型電腦想要閱讀當天的新聞,但是發現連不上網路。一開始夏皮羅仔細檢查了電腦的無線網路設定和路由器的設定後感到震驚的結果,不是他的設定問題而是網際網路壞了。

 《紐約時報》網站和Twitter都處於離線狀態。《衛報》(The Guardian)、《華爾街日報》(The Wall Street Journal)、美國有線電視新聞網(CNN)、英國廣播公司(BBC)和福克斯新聞(Fox News)的網站也是如此。當Twitter斷斷續續地重新上線時,用戶對數量驚人的其他數位服務進行了分類,這些服務也是中斷的受害者。亞馬遜、Spotify、Reddit、PayPal、Airbnb、Slack、SoundCloud HBO和 Netflix 都在不同程度上癱瘓了。美國東海岸的大部分地區和其他地區也都癱瘓了。

夏皮羅(Shapiro)是耶魯大學法學院(Yale Law School)的一位重度使用網路的教授,那一年他正在教授一門關於網路衝突的新課程,他發現斷網使人深感迷失方向和孤立。一場美國歷史上前所未有的總統大選在不到三周的時間就要登場。當月早些時候,美國情報機構聯合宣佈,駭客入侵民主黨全國委員會和希拉蕊·克林頓的總統競選活動實際上是由俄羅斯政府實施的。與此同時,朱利安·阿桑奇(Julian Assange)的維基解密(WikiLeaks)一直在發布這些駭客洩露的電子郵件,並引發了一連串的頭條醜聞新聞。受到驚嚇的網路安全分析師擔心,更高潮的網路攻擊可能會在選舉日發生,使美國陷入混亂。

就在一個月前,著名密碼學家和安全專家布魯斯·施奈爾(Bruce Schneier)撰寫的一篇博客文章尖銳地激發了這些焦慮。它的標題是“有人正在學習如何關閉網際網路”。

“在過去的一兩年裡,有人一直在調查運行網際網路關鍵部分的公司的防禦措施,”網路安全界最受尊敬的名嘴之一施奈爾警告說。他描述了一股未知的力量似乎正在以前所未有的規模,以大規模的阻斷式攻擊流量反覆攻擊這些關鍵基礎設施。”這些探測器採取精確校準的攻擊形式,旨在評估這些公司的防禦能力,以及將其擊落的條件” ,我們不知道是誰在做這件事,但感覺就像一個國家級的駭客行為。中國或俄羅斯將是我的第一個猜測。

現在,在夏皮羅看來,施奈爾的警告正在實現。“這就是網路的恐怖攻擊”,他記得當時在想,是“大個子”嗎?“他問自己。或者,這也許是對11月8日將要發生的真正「大事件」的考驗?“顯然,它應該是一個國家級的層級”,夏皮羅想,“一定是俄羅斯人”。

對於夏皮羅來說,網際網路中斷是一個轉捩點:在接乃下來的幾個月和幾年裡,他會癡迷於試圖理解為什麼有人可以簡單地消滅世界上如此大的網路連接,誰會做這樣的事情,以及為什麼。但與此同時,在夏皮羅位於康乃狄格州的家以西不到500英里的地方,在賓夕法尼亞州華盛頓鎮,另一種觀察者正在觀察襲擊事件的展開。

在鍵盤前度過了一個典型不眠之夜後,19歲的約書亞·懷特(Josiah White)坐在一個淩亂的地下室儲物區的工作臺上,盯著他設置的三台平板顯示器,這些顯示器與他與兄弟在父母家共用的臥室相連。他周圍都是電腦設備,舊硬碟和他主動提出要修理的朋友的電腦,還有他家的玩具和聖誕樹裝飾品。

幾個星期以來,他與兩個年輕朋友帕拉斯·賈(Paras Jha)和道爾頓·諾曼(Dalton Norman)一起製造的網路武器在網際網路上造成了嚴重破壞,在一次又一次前所未有的攻擊中將受害者炸毀。隨著傷害的增加,約書亞已經習慣了刺激、焦慮、內疚,以及這一切都變得如此荒謬的地失控的感覺,以及他現在可能被世界各地的執法機構追捕的想法。

他已經達到了一種麻木的狀態,即使他閱讀了布魯斯·施奈爾(Bruce Schneier)的世界末日帖子,並明白這是在描述他自己的工作,他也感到恐懼,而現在,即使白宮新聞秘書在媒體新聞發布會上向記者保證,國土安全部正在調查直接由他的行為導致的大規模斷網現象。

但約書亞記得,他最常感受到的只是敬畏,對他和他的朋友們釋放的科學怪物的規模和混亂力量的敬畏。敬畏它現在已經徹底擺脫了他們的控制。敬畏網際網路本身正在被三名年輕駭客在一連串青春期情緒、異想天開、競爭、合理化錯誤行為中建立的東西所動搖。一個叫做Mirai的東西。

第一部分

建造Mirai的三個年輕人中沒有一個符合網路犯罪分子的形象,尤其是約書亞懷特,他可能是最直接的發明者。約書亞在匹茲堡以南一小時車程的一個鄉村長大。他是一個家庭關係密切的基督教家庭的四個孩子中最小的一個,正如他媽所說,他們都在家接受教育,以便更好地“瞭解上帝如何創造他們,及創造他們的目的”。她形容家裡這個瘦弱的黑髮嬰兒是一個固執、獨立但異常善良的孩子。他會坐在主日學的新孩子旁邊,讓他們感到賓至如歸。

約書亞的父親是一名工程師,後來成為保險推銷員,一家人住在被樹林和農田包圍需要整修的房子裡。從他有記憶起,約書亞就跟著父親書房子裡轉來轉去,而父親則在不停的修補和修理東西。2002年,當他 5 歲時,約書亞很高興在耶誕節收到一個電源插座的元件。後來,他的父母給了他一本名為《101 Electronics Projects》的書,他懇求母親開車送他去RadioShack,帶著一份麵包板元件的購物清單。在他10歲之前,他就建議他的父親如何連接三路開關。

約書亞的父親會帶他去教會的「汽車事工」,在那裡他們會免費修理會眾的汽車,並且為傳教士翻新捐贈的車輛。約書亞會站在商店的角落裡,等待工頭給他一個任務,比如重新組裝汽車壞掉的水泵。

約書亞陶醉於用他的技術能力給大人們留下深刻印象。但他更被電腦所吸引,它比任何汽車部件都更乾淨、更合乎邏輯。“你給它一個輸入,你得到一個輸出,”他說。“這讓我有了更多的控制權。”在多年爭奪家庭電腦的時間後,他在接近 13 歲生日時擁有了自己的個人電腦,一台配備 Pentium III 處理器的電腦。

大約在同一時間,比約書亞大七歲的哥哥,想出了如何重新設計手機程式,以便將它們從一個電話運營商轉移到另一個電話運營商。約書亞的哥哥開始將這種解鎖作為一項服務進行,很快它的需求量如此之大,以至於他們的父親用它來開展電腦維修業務。

15 歲時,放學後會在家裡的商店工作,為客戶設置 Windows 作業系統,並在他們的機器上安裝防病毒軟體。從那時起,他對 HTML 的工作原理感到好奇,然後開始自學程式設計,然後開始探索 Web 託管和網路協定並學習 Visual Basic。

儘管約書亞的童年很健康,但他有時覺得自己一塵不變的生命要孤獨的面對世界,正如他所說,從家庭學校到教堂再到家庭電腦店。但他唯一真正懊惱的規則是他母親制定的規則,這些規則限制了他的電腦時間,或者強迫他通過功課和家務來上網。最終,她放棄了。“我有點讓她疲憊不堪,”他說。她之所以心軟,部分原因是明白他對電腦的知識的能力成為家庭企業的關鍵。約書亞現在擁有近乎無限的電腦時間,他夢想著有一天他會像他的兄弟一樣,利用自己的技能創辦自己的企業。

事實上,像大多數同齡孩子一樣,約書亞在鍵盤上的大部分時間都花在了遊戲上。其中一個被稱為上行鏈路。在其中,主角是一名自由駭客,可以在兩個交戰的在線運動之間進行選擇,每個運動都構建了一段強大的自我傳播代碼。一個駭客組織一心想利用它的創造來摧毀網際網路。另一個是阻止他們。約書亞不是那種半途而廢的孩子,他在兩邊都打滿了比賽。

沉浸賽博龐克的類比中,加上了解蘋果聯合創始人史蒂夫·沃茲尼亞克(Steve Wozniak)和凱文·米特尼克(Kevin Mitnick)等著名駭客,他們在1990年代的貓捉老鼠追捕中躲避了聯邦調查局(FBI)的追捕,在約書亞十幾歲的腦海中培養了一種概念,即駭客是一種秘密的反文化技術。甚至比設計者更瞭解技術系統的挑戰吸引了他。它為一個有著嚴格基督徒父母的青少年提供的顛覆性、探索性的自由也是如此。當他在谷歌上搜索了一些駭客術語以瞭解更多資訊時,他最終進入了一個名為駭客論壇的網站,這是一個免費的年輕數位格格不入的人:無辜的探險家,狂熱的和成熟的犯罪者,都在爭奪影響力和金錢。

在 2011 年的網際網路上,每個不熟練的駭客的劇本中最基本的伎倆是拒絕服務攻擊,這是一種利用網際網路永恆的、基本的頻寬限制的蠻力技術:編寫一個程式,可以在連接網際網路的電腦上發送足夠的垃圾數據,然後你可以將其關閉。

例如,前一年,駭客組織匿名者(Anonymous)對Visa、萬事達卡(Mastercard)、PayPal和美國銀行(Bank of America)拒絕允許向維基解密捐款的回應是,用垃圾數據請求轟炸這些公司的伺服器,製造所謂的分散式拒絕服務攻擊,短暫地關閉了這些公司的線上服務。但大多數 DDoS 攻擊都不那麼有原則:不間斷的網路犯罪AK-47式的交叉火力自相殘殺破壞行為。

在駭客論壇上,許多駭客運行著他們自己的“導流”服務,每月只需幾美元,就會對客戶選擇的任何人發起拒絕服務攻擊,通常是線上遊戲服務,以挑釁或破壞競爭對手的玩家。導流程式的使用者和管理員隨便談論“擊中”目標,或者更糟的是,“阻止”服務或單個使用者的連接,反復轟炸它以防止它重新上線。

一些引導者從殭屍網路發起攻擊,殭屍網路是成千上萬不知情的使用者PC的集合,被隱藏的惡意軟體劫持,形成一個類似旅鼠的機器群,用數據攻擊目標。其他引導程式使用「反射」或「放大」攻擊:如果駭客可以找到一個線上服務,該服務將通過發送比請求本身更大的數據塊來回應查詢,那麼他們就可以欺騙他們問題的來源,以便該服務將其答案發送給受害者。通過從伺服器上反彈數千個問題流量,駭客可以用其回應轟炸受害者,並大大增加其攻擊的火力。

約書亞被這些詭計的聰明之處所吸引,自然而然地決心從最深層次上理解它們。他偶然發現了一位網路安全博主的一篇博文,描述了使用在線第一人稱射擊遊戲《雷神之錘III:競技場》伺服器的反射攻擊。通過簡單的「getinfo」或「getstatus」請求 ping 它們,伺服器會發回資訊,包括伺服器上玩家的使用者名和他們正在玩的關卡的地圖——這個答案幾乎是問題的 10 倍,可以針對駭客選擇的任何欺騙性 IP 位址。

該帖子旨在作為警告。它警告說,這種攻擊可以用來關閉頻寬高達每秒23M/Bits的服務,對於約書亞來說,這個管道對於每秒1.5M/Bits的家庭來說似乎是巨大的。這篇博文的作者寫道,一個有能力的程式師利用了這個問題,“可以在一個慵懶的下午輕鬆創建一個成熟的攻擊套件。

約書亞把這當作一個挑戰。他拼湊了一個簡單的腳本來執行攻擊,並將其發布到駭客論壇上,以他的使用者名“Ohnoes1479”。他只要求任何使用它的人給他一個讚,以提高他的論壇個人聲望。

約書亞並沒深思熟慮他所創造的怪物。畢竟,它只是暫時使電腦離線,對吧?他想,與其說是犯罪,不如說是惡作劇。無論如何,他自己都不能使用它,因為他的家庭網際網路連接不允許IP欺騙所需的攻擊。儘管如此,當論壇上的其他駭客,他懷疑其中一些人運行著自己的引導服務,詢問如何使用該程式的問題,甚至要求更新功能時,他很樂意提供説明。

大多數情況下,就像他曾經在教堂的汽車店裡成為的技術神童一樣,他的目標是給人留下深刻印象。“我想做一些很酷的東西,”他說。“我想要尊重。”

在那個無政府主義的駭客論壇場景中,約書亞很快找到了志同道合的人,一個自稱“黴菌”的使用者。在離線世界中,他的名字叫道爾頓·諾曼。他是一個十幾歲的駭客,只比約書亞大一歲,約書亞更能接觸到他叛逆的一面。

像約書亞一樣,道爾頓的父親是工程師。他的父親帶領維護團隊在紐奧爾良建造了一座摩天大樓,全家住在那裡。和約書亞一樣,道爾頓也有天生的技術天賦。在青春期前,他為遊戲編寫了作弊模組,並以吱吱作響的聲音在自己的YouTube頻道上展示。他和父親在業餘時間會開著他父親的雪佛蘭蒙特卡洛(Chevrolet Monte Carlo)工作,這輛車的馬力如此之大,以至於道爾頓還記得它加速時外部扭曲的感覺。他說,他繼承了同樣的動力,將技術推向極限。

但與約書亞相比,道爾頓的童年充滿了逆境。小時候,掙扎於口吃的尷尬場面,這給他留下了深深的傷痕。他記得他的家人在餐桌上嘲笑他,因為他結結巴巴地唸出妹妹的名字。“這太可怕了,有點導致我只是待在我的房間,自卑,並試圖通過超級擅長某事來彌補挫折感,”道爾頓說。

到小學結束時,令道爾頓鬆了一口氣的是,口吃已經消失了。但是,就在他似乎可以享受正常的青春期時,他的生活卻被更大規模的不幸打亂了。道爾頓的家人撤離到密西西比州,五年多沒有回來。在流亡一個州時,道爾頓發現自己在一所“邪教”基督教私立學校,學生們在上ˇ課前祈禱,據他回憶,一位數學老師向他保證巴拉克·奧巴馬是敵基督者。“當我不祈禱或做任何事情時,我會因此而受到打擊。

道爾頓在12歲時寫了他的第一個程式。這是一個垃圾郵件工具,他用它來折磨一個他不喜歡的老師,破壞了她的收件匣。他說,不久之後,他進行了第一次拒絕服務攻擊,從內部攻擊學校的網路。

在連接到學校的Wi-Fi時,他用垃圾請求淹沒了路由器,直到整個Intranet崩潰。“當你在網路內部時,很容易使網路癱瘓,”他說。具有諷刺意味的是,正如道爾頓所描述的那樣,他在IT專業知識方面已經獲得了足夠的聲譽,以至於學校工作人員要求他説明解決問題。他停止了他的攻擊腳本,拔下路由器,重新插入,並向學校管理人員展示了它神奇地再次起作用。然而,在另一次襲擊中,他說他在通風不良的壁櫥裡使路由器過熱,以至於它被炸了。

在他十幾歲的時候,他記得看了《社交網路》,並從電影中得到了完全錯誤的資訊:道爾頓並沒有因為電影中虛構的不道德的馬克·祖克伯的原始故事而感到警醒,而是受到了深刻的啟發。“那部電影從根本上改變了我看待世界的方式,”他說。“這就像,有了一台筆記型電腦和一個好主意,你就可以控制你的生活,做一些很酷的東西。

在嘗試推出自己的社交網路失敗後,他不知道如何獲得使用者,也沒有預算來做廣告,他又回到了駭客時代:他編寫了一個鍵盤記錄程式,旨在通過隨身碟感染受害者的電腦後窺探他們的擊鍵。他還進入了駭客論壇。很快,他就開始運營自己的引導服務,雇傭其他駭客來處理客戶服務,這樣他就可以專注於尋找新的方法來擴大他的攻擊流量。

大約在這個時候,道爾頓遇到了約書亞,他說,他是他見過的最聰明的駭客。這兩個青少年很快就離開了駭客論壇,定期在Skype上交談,然後是另一個網際網路會議服務TeamSpeak。在這些談話中,道爾頓最終使用了他的真名,而約書亞則使用“喬伊”,這是一個薄薄的化名。他們喜歡相互競爭,以尋找新的拒絕服務放大技巧。在友好的競爭中,他們會熬夜到淩晨,在網際網路上尋找不設防的伺服器,他們可以用來將攻擊流量增加數十倍,最終達到數百倍。

這兩名駭客說,在那些深夜的網路攻擊中,他們通常會建立自己的網站進行目標練習,或者使用朋友的網站練習攻擊,這比最初讓約西亞感到驚訝的23兆位元攻擊要大4000多倍。很多時候,他們會使目標網站以及運行它的託管服務的伺服器離線,這也導致無數其他網站停機。

道爾頓已經經營著一家營利性攻擊服務公司,他沒有這種無辜的幻想,他有點自豪地承認,他將自己不斷增長的引導火炮武器庫用於任何足以惹惱他的駭客論壇競爭對手。他吹噓說,在某些情況下,他會「狠狠地打人」,以至於他們的網際網路服務提供者會切斷受害者的連接24小時,以避免進一步的附帶損害。“這是很大的力量,”他說。“如果有人欺負人或成為混蛋,那麼是的,他們下線了一段時間。”

這兩名青少年都設法向家人隱瞞了這些非法駭客行為。但對於道爾頓來說,後果很快就猛烈地蔓延到他的物質世界。

約書亞承認,到這個時候,他已經陶醉於他們駕輕就熟的程式工具力量。儘管他仍然認為自己是一個無辜的、探索性的駭客。“我很愚蠢,有時我只是生氣,我想看到傷害,在某些時候,但這不是我的主要動力”。

當他發現一個為他的電腦啟動服務工作的人,他愚蠢地把自己的真名交給一個一直在竊取他們的利潤的大孩子,事情就開始了。他解僱了那個傢伙。幾天後,道爾頓和他的家人圍坐餐桌旁,一隊穿著防彈背心的員警衝進門,尖叫著讓每個人都趴在地上。員警用霰彈槍指著道爾頓和他驚恐的父母和兄弟姐妹,咆哮著命令和問問題。

原來,警方接到了一個欺騙性的911電話。來電者警告說,道爾頓開槍打死了他的母親,現在把家裡其他人扣為人質。道爾頓被「打了一頓」,成為虛無主義青少年駭客工具包中最危險的報復措施的目標。當警方意識到沒有人質危機時,道爾頓向員警和他的父母解釋說,一個憤怒的孩子在網上對他們造成了這種情況省略了關於他的服務的部分。作為衡量他青少年大腦風險評估的指標,在整個事件中,他最大的恐懼是他憤怒的父母會如何懲罰他。他被禁足了。

道爾頓說,他從這次事件中吸取的真正教訓是加強了他的運營安全,不再告訴駭客世界的任何人他的真名除了約書亞。“除了他,我不相信任任何人,”他說。

在這一切事件之中,另一種災難降臨了,他的口吃又回來了。當他在高中遇到另一個口吃者時,不知何故,觸發了他的大腦,重新啟動了他的口吃。這種改變似乎是永久性的。他小時候說話的困難,以及隨之而來的所有焦慮和羞恥,都湧了回來。他說,這是“一場噩夢”。

像許多口吃者一樣,道爾頓找到了解決方法,可以隨意使用單詞詞典來阻止他的口吃,用其他詞來代替他的殘疾。但是,不允許替換的名字特別困難。有一次,為了離開體育課,他在高中的技術辦公室做志願者,發現這份工作包括為學生提供筆記型電腦。他記得站在教室前試圖說出一個學生的名字,而整個班級都在嘲笑他。甚至連他自己的名字也常常無法完整講出。“這讓我崩潰,”他說。“但後來,我只是想,’我不在乎別人怎麼想。去他媽的。

他說,道爾頓的口吃使他重新燃起了網路犯罪的熱情。他切斷了與現實世界朋友的聯繫,退回到電腦前,將精力集中在駭客攻擊上。他歪曲的青少年邏輯再次發揮作用,告訴他放棄任何正常生活或合法職業的希望。“我想,’沒有人會僱用我,因為我不會說話。當我幾乎說不出自己的名字時,我怎麼能通過面試呢?道爾頓回憶道。

他告訴自己,他別無選擇 “我必須找到一種方法來讓這個駭客的事情成功”。

在三位年輕的駭客中,他們一起對歷史上最大的 DDoS 攻擊負責,Paras Jha 從最天真、最孩子氣的地方走上了這條道路:對 Minecraft 的熱愛

帕拉斯出生於孟買,當他的家人移民到美國時,他不到一歲,最終定居在新澤西州中部附近。他的父母要求學業完美,而帕拉斯有足夠的天賦,可以輕鬆實現。事實上,這太容易了:他說,在小學和中學的幾年裡,他一拿到教科書就讀完了,然後就再也不學習了,每次考試都取得好成績。

與此同時,帕拉斯意識到他在注意力方面存在一個自相矛盾的問題。他記得在三年級時,當老師和他說話時,他就失魂了,用手指在空畫出她的臉。那位老師後來建議帕拉斯的父母對他進行注意力缺陷障礙測試。帕拉斯說,他的家人來自一種汙名化這種診斷的文化,對老師的警告持懷疑態度。他的父母填寫了學校的學習障礙評估表;結果是陰性的,他從未得到治療。

隨著年齡的增長,他分散的精神狀態意味著他經常忘記學校作業,而他嚴厲的父母會以禁足他來回應。為了打發時間,他被電腦所吸引。他心愛的電子遊戲在工作日是被禁止的,所以他會花幾個小時玩Microsoft的Visual Studio,自學程式設計。

在他高中的早期,帕拉斯已經癡迷於Minecraft,這是一個身臨其境的在線世界,本質上呈現了一個塊狀的、低解析度的、幾乎無限的元宇宙。然而,除了玩遊戲之外,Paras 還被在線伺服器上運行自己的Minecraft世界的可能性所吸引。他會主持標籤或奪旗的迷你遊戲,無休止地修改伺服器的程式碼來修改規則。他喜歡加入自己的世界,讓自己隱身,然後觀察玩家在他控制和隨意改變的宇宙中的反應。這就像看著具有人類智慧的8位螞蟻在他自己的螞蟻農場裡走來走去。

帕拉斯很快發現,他可以利用自己的編碼技能為其他Minecraft管理員構建修改和迷你遊戲,從而賺到數千美元  。事實上,事實證明,Minecraft生態系統支援了自己令人驚訝的高風險行業。玩家支付少量費用即可在他們最喜歡的伺服器上獲得特權和升級,而這個去中心化元宇宙中最受歡迎的世界的管理員每年的收入高達六位數。所有這些錢意味著這個看似無辜的行業已經發展出令人驚訝的無情的陰暗面。Minecraft 伺服器不斷受到引導者 DDoS 攻擊的攻擊,這些攻擊是由受害的玩家、競爭對手和巨魔發起的。許多人每月向DDoS保護公司支付數千美元,這些公司承諾過濾或吸收攻擊流量。

有一天,帕拉斯發現自己與一位熟人進行了Skype群聊,這位熟人也經營著Minecraft  伺服器。這個人下定決心,出於帕拉斯已經記不清的原因,要拿下某個對手的世界。帕拉斯一邊讀著,一邊向聊天室的另一位成員尋求説明,一個名叫萊特斯皮德的人物,他因拒絕服務的魔法而聲名狼藉。

約書亞在加入駭客論壇大約九個月後,將他的使用者名從 Ohnoes1479 改為這個不那麼可愛的綽號,這些天他在網上大搖大擺地走著。他很樂意答應。

約書亞、帕拉斯個朋友都進入了Minecraft 世界,進入了充滿數百個其他玩家的低解析度人物的塊狀景觀。然後,通過Skype,在語音聊天中,約書亞告訴其他人他正在發動攻擊。在網際網路上,帕拉斯可以聽到約書亞鍵盤上的Enter鍵的敲擊聲。世界停止了。

約書亞離線的伺服器上託管的宇宙沒有變暗或返回錯誤消息,而是簡單地凍結了,因為每個玩家突然斷開連接並被限制在自己電腦的分裂版本中。帕拉斯驚歎於他如何穿越那個世界,看到其他玩家癱瘓在他們站立的地方,或者漂浮在半空中。

這種凍結狀態持續了30秒,然後世界完全崩潰。對帕拉斯驗驗,這是一個搞笑的魔術。“這感覺就像一個秘密的超級大國,”他說。“儘管不是我做的,但瞭解正在發生的事情很酷。”

他與約書亞變得友好,並發現這位才華橫溢的駭客很樂意摧毀帕拉斯要求他關閉的伺服器,只是為了娛樂。約書亞似乎也出人意料地願意分享他的知識。從他和道爾頓早期嘗試的放大攻擊開始,約書亞現在使用網際網路上數千台的電腦殭屍網路進行攻擊,他感染了自己的惡意軟體,利用 phpMyAdmin 中的安全漏洞將底層伺服器變成他的私人軍隊。

後來,約書亞轉而使用更強大的 Supermicro 伺服器叢集,這些伺服器是他通過主機板管理控制器中的漏洞入侵的,這些晶片旨在允許管理員遠端連接到伺服器並監控其性能。他觸發的攻擊很快就變得如此強大,以至於他和他的朋友們甚至難以衡量他們的實力:他們用它攻擊的所有東西,即使是保護最好的 Minecraft 伺服器,甚至是他們自己的測量工具都會立即離線。

帕拉斯也想要這個超能力。約書亞很樂意説明他解決 DDoS 攻擊代碼問題,甚至從他自己的殭屍網路中提供了數千台電腦提供帕拉斯測試。“我不只是按下按鈕,而是想自己製作按鈕,”帕拉斯說。很快,他就變成了一個相對老練的殭屍網路牧者,擁有自己的DDoS殭屍群。

到10年級時,令父母沮喪的是,帕拉斯開始在學校裡掙扎,因為科目變得更加複雜,他心懷不滿的神童戰術達到了極限。但在網上,他被稱為“顫慄是一種酷”,他以舔不畏死的態度擁抱了他新的神力,一時興起就擊倒了目標。他和另一位朋友有時甚至會找到一家託管某些Minecraft伺服器的公司的電話號碼,用可拋棄式電話號碼撥打他們的業務熱線,並在帕拉斯發起DDoS攻擊時口頭嘲諷他們,使他們的機器離線。

不知何故,這個來自嚴格移民家庭遵守規則、成績優異的孩子變成了一個猖狂的網路破壞者。但帕拉斯說,在那個時候,他或者約書亞,或者道爾頓從來都不太清楚他們襲擊的後果有多嚴重。畢竟,他們仍然只是將一些電腦從網際網路上移除,對吧?“就像,伺服器重新上線,”帕拉斯說。“你第二天醒來,你去上學了。

在其他時候,他幾乎會檢查自己,開始掌握自己的螺旋式行為。他記得在拿下最大的Minecraft伺服器之一Hypixel後,他坐在父母家的浴室裡,意識到如果他繼續下去,他遲早會被捕。“不要被它吸引,”他告訴自己。“不要被它吸引。”

帕拉斯被吸進去了。他們都做到了。特別是,曾經自欺欺人地說自己是一個無害的駭客探險家或沃茲尼亞克式的惡作劇者的基督教家庭教育學生約書亞,已經迅速、一步一步地滑向賺錢的網路犯罪。在他的LiteSpeed板機下,他開始以每個客戶幾百美元的價格向已知的導流服務運營商出售他的放大技術,並將大部分錢用於在遠端數據中心租用伺服器,以進一步進行駭客攻擊。他對Skype的代碼進行了逆向工程,以找到提取使用者IP位址的方法,這些IP位址是他們家庭網際網路連接的標識符,可以讓他們直接進行DDoS攻擊。很快,他就將這種IP提取工具按使用量出售給他的駭客和引導者同伴。

當他朋友的一位潛在受害者吹噓說他不會被離線攻擊時,因為他有一個動態IP位址,每次他重新啟動家用路由器時都會改變,約書亞發現他可以使用 traceroute 命令查看該目標和他的網際網路服務提供者之間每個路由器的IP位址。於是,他和這位朋友開始攻擊該網路中更上游的電腦,追蹤向他的電腦提供數據的較大動脈,而不是連接到他家用機器的毛細血管,直到所有這些路由器也都沒有回應。據他們所知,這種不分青紅皂白的策略破壞了目標的整個城鎮的網際網路服務,所有這些都只是為了防止他躲避他們的攻擊。

約書亞說,每一步都感覺足夠小,就像神話中的溫水煮青蛙一樣,他幾乎沒有注意到道德溫度的變化。他找到了自己非常擅長的東西,也許比他認識的任何人都好。他告訴自己,他並沒有實施核心網路犯罪,比如破壞網路或竊取信用卡數據。另一位駭客論壇使用者向他保證,聯邦調查局只關心超過10,000台電腦的殭屍網路,他天真地接受了這個故事。“我把很多事情合理化了,”約書亞說。“鍋沸騰了。”

2014 年初,當約書亞還是16 歲時,他創造了一種強大的新殭屍網路,將溫度提高了另一個致命的程度。它始於一位朋友向他指出,家用路由器除了成為 DDoS 攻擊的良好目標外,本身還可能被駭客入侵,並可能成為殭屍網路的徵用者。事實上,許多路由器仍然使用一種稱為telnet的舊協定,該協定允許管理員遠端配置它們,有時不需要任何身份驗證,或者只需要默認憑據,例如密碼“admin”。所有這些路由器都代表了數以千計的可被駭客入侵的設備,換句話說,它們等待著被接管並加入約書亞的軍隊。

問題在於,路由器是小而簡單的小工具,使用廉價、低性能的嵌入式設備晶片,而不是大多數駭客習慣利用的那種系統。但約書亞從來不是一個被學習新機器的神秘細節的任務所嚇倒的人。他從零開始,學會了寫路由器ARM處理器的語言,並構建了一個緊湊的惡意軟體,可以通過telnet安裝到相對不設防的設備上,使它們執行他的攻擊命令。

路由器的作業系統通常不允許在其上安裝軟體。但約書亞發現他們確實有一個「echo」 命令,可以寫出輸入到新檔中的任何一行文本。他使用該命令將代碼逐行複製到一個足夠小的檔中,以容納路由器的幾位百萬位元組記憶體。這一壯舉相當於在一個 12 盎司的瓶子裡組裝一艘模型船。他稱代碼為Qbot。

Qbot 是約書亞首次涉足入侵所謂的物聯網,即超越傳統電腦的廣闊網際網路連接設備,從安全監控攝影系統到智慧設備,這些設備將被證明已經成熟。即使在第一次粗略的嘗試中,人們也立即發現 Qbot 是一種強大的新武器。

約書亞可以看到他偶然發現的力量:Qbot 似乎有成千上萬個易受攻擊的在線路由器可以徵用。與之前的編碼專案相比,他最初對這個創作更加謹慎,將 Qbot 的代碼保密,只與他的朋友分享:道爾頓、帕拉斯和其他一些年輕的駭客,他們形成了一個鬆散的網路,並在 Skype 和 TeamSpeak 上逛。但約書亞犯了一個錯誤,他把密碼也給了另一個聯繫人。這個傢伙的名字叫“vypor”,約書亞說,他以交易其他駭客的秘密而聞名,以此來打動更有才華的熟人。Vypor 立即開始用 Qbot 換取好處和影響力,很快,他的整個聯繫人名單似乎都得到了回報。

當這種背叛變得清晰時,道爾頓代表約書亞進行了報復,通過零工服務 Fiverr 聘請了一名饒舌歌手來錄製一首充滿褻瀆的曲目,殘酷地嘲笑維波爾缺乏編碼技能。diss曲目已上傳到YouTube。維波爾立即做出回應,威脅要毆打他們所有人:道爾頓、約書亞,甚至還有最近才加入該組織的帕拉斯。

這三名年輕的駭客都害怕被打,或者再次被打,在道爾頓的案例中。他們一致認為,保護自己的最好辦法是將維波爾打下線並儘可能長時間地阻止他。如果他無法聯繫到VoIP服務來欺騙報警電話,他們的短期推理告訴他們,他不能聯絡任何人。也許他們至少可以在他把武裝員警帶到他們家門口之前享受週末。

因此,他們所有人一起用他們擁有的所有 DDoS 工具轟炸了維波爾。幾天來,他們不僅反覆攻擊他的家庭連接,還反覆攻擊上游兩三步的路由器,使用Qbot和他們學會使用的所有其他殭屍網路和放大技術。這三個人認為他們可能將整個城鎮從網際網路上轟炸出去,儘管除了看到整個網路設備鏈停止響應他們的ping之外,他們從未得到確認。

無論如何,這次襲擊似乎達到了目的。維波爾從現場消失了,再也沒有打擾過他們。

艾莉森·尼克森(ALLISON NIXON將成為世界上最早完全瞭解武器化路由器和物聯網設備所構成危險的安全研究人員之一,他不知道約書亞·懷特(Josiah White)是誰。但她知道LiteSpeed。

幾年前,艾莉森在紐約開始她的職業生涯時,曾在戴爾SecureWorks子公司的安全運營中心上夜班,基本上是相當於巡邏守夜人的網路安全工作。她是一名身材嬌小、穿著連帽衫的安全分析師,二十出頭,她實時監控公司客戶的網路是否存在攻擊,並對其進行調查,足以知道是否要升級到更高級的人。“有點磨人,”她回憶道。

但她很好奇,所有這些日常的、廣泛的駭客攻擊都是從哪裡來的。因此,在警報之間的長時間停機時間裡,她開始在谷歌上搜索,並驚訝地發現了駭客論壇,這是一個開放網路上的平臺,年輕的數位偏差者在這裡吹噓他們的攻擊並厚顏無恥地出售他們的工具包。她發現引導服務尤其令人震驚:這些不法分子如何公開和廉價地出售一種網路攻擊,這種攻擊每年可能使公司損失數百萬美元,並且經常使她和她的同事的生活陷入地獄。許多造成這種破壞的年輕駭客甚至可以被識別出來,這要歸功於他們輕率的公開發佈、草率的操作安全性以及競爭對手的頻繁「人肉搜索」——挖掘並揭露另一名駭客的真實身份。但似乎沒有人做任何事情來阻止他們。

隨著艾莉森在論壇上潛伏的時間越來越長,她可以看到網站上的大多數駭客實際上並沒有開發自己的技術。相反,他們幾乎所有的工具似乎都是從少數熟練者在 Scrum軟體開發網站中脫穎而出。“有時,當你跟蹤某人時,你會有一種直覺,他們會以某種方式爆炸,”她說。“我知道我想盯著他。”

艾莉森說,SecureWorks反威脅團隊中更資深的研究人員對DDoS攻擊興趣不大,與他們關注的尖端入侵方法相比,DDoS攻擊被認為是原始的。但艾莉森對無政府主義的蒼蠅王著迷,這個世界由年輕的駭客組成,他們建立了一個完整的網路攻擊行業,似乎沒有任何影響,甚至沒有受到執法部門的通知。

艾莉森與一位大學研究人員合作,開始在駭客論壇上測試引導服務,用一波又一波的垃圾流量攻擊豚鼠目標伺服器。一些攻擊超過了每秒30 G/b,足以讓某人離線或癱瘓網站。

到 2014 年,艾莉森已經退出了安全運營中心,全職從事駭客工作,但她無法放下對 DDoS 的癡迷。在匹茲堡舉行的名為「國家網路取證和培訓聯盟」(National Cyber-Forensics and Training Alliance)的網路犯罪打擊人員會議上,她站在一個由數十名研究人員、學者和執法官員組成的房間前。在一家剛剛提出DDoS保護計劃的網際網路服務提供者的參與下,她證明可以點擊引導網站上的一個按鈕,隨意發起網路攻擊,在一群聯邦特工和檢察官面前,這是一個大胆的舉動。

聯邦調查局匹茲堡辦事處的一名特工名叫埃利奧特·彼得森(Elliott Peterson),他是一名來自阿拉斯加的前海軍陸戰隊員,最近領導了具有里程碑意義的取締俄羅斯網路犯罪惡意手軟體和殭屍網路GameOver ZeuS,給人留下了特別深刻的印象。他和艾莉森談到了引導程序問題。她指出,這些服務的運作是多麼自由,有多少罪魁禍首是可以識別的,以及對這個世界的任何干預可能有多強大。她也越來越感覺到,如果更大的問題得不到控制,它將對網際網路的運作構成嚴重威脅。

對於約書亞來說,與維波爾的衝突是一個警鐘。他覺得自己勉強避免了秘密的駭客愛好闖入他平靜的家庭生活。在一年多的時間,他退出了駭客論壇,讓他的 LiteSpeed 攻擊板機處於休眠狀態。但他繼續與他的朋友帕拉斯和道爾頓聊天。

與此同時,帕拉斯繼續自由落體,陷入駭客虛無主義。2014年秋天,他開始在羅格斯大學上大學,發現自己孤身一人,沒有停泊。他曾期待著深入研究計算機科學,但當他得知自己將不得不參加其他類型的課程時,他感到震驚,這些課程對他來說似乎是浪費了幾個月的時間和學費。令他震驚的是,即使是計算機科學考試也必須用鉛筆和紙進行。“我非常討厭大學,”他給朋友發短信說。“這裡絕對沒有適合我的東西。”

他陷入了不適,體重增加,有時一口氣吃了一個大披薩。他晚上睡不著覺,經常找不到起床的動力,更不用說上課了。除了他的室友,他在現實世界中幾乎沒有社交聯繫,當然,沒有什麼能與他在網上建立的豐富、久經沙場的友誼相提並論。

“我們會做幾次,”約書亞記得當時的想法。“我們會製造一點麻煩,然後我們就會忘記它。我們會停下來的。

帕拉斯特別沮喪地發現,他甚至無法進入一些他想註冊的計算機科學課程:三年級和四年級的學生獲得了第一名,只有當他們的註冊輪次結束後,二年級和一年級才有機會從剩下的課程中進行選擇。

但帕拉斯很快意識到,他擁有糾正這種不公正的超能力:他可以使用他的一個殭屍網路(主要由易受攻擊的家用路由器構建)將整個註冊系統離線,直到輪到他。

他以折磨這個他覺得正在折磨他的機構為樂。在推特#@ogexfocus下,伴隨著一張幽靈面具的照片,帕拉斯公開嘲諷他的目標,“羅格斯大學的IT部門是個笑話”,他在一份公開宣言中寫道,在連續三次攻擊之後,他吹噓說,在連續三次攻擊之後,粉碎了大學的網路,“就像我靴子腳後跟下的錫罐……我相當確定,我可以閉著眼睛,截肢一條腿,繞著你們所有人轉圈”。

當可怕的考試到來時,他再次摧毀了羅格斯大學的網路以拖延考試,為自己爭取了幾天悲慘的拖延。後來,他關閉了網路,以防止他的父母看到他越來越可怕的成績。“我感到非常沮喪——我猜是我自己——並猛烈抨擊,”他說。

2015年春天的一次,帕拉斯徹底地癱瘓了羅格斯大學的網路,以至於他不得不給喬西亞發簡訊,要求他繼續代表他進行攻擊。“海軍上將,你能執行我的命令嗎?”他用他們開發的以海軍為主題的俚語寫道斷網網持續了足夠長的時間,以至於羅格斯大學的一些學生後來要求退還學費。

帕拉斯很享受這些攻擊給他帶來的控制感,看著它們對大學的連鎖反應,就像他幾年前無形地看著玩家對他對《我的世界》世界的調整做出反應一樣。但當襲擊結束時,他的問題仍然存在。到第二年,帕拉斯很清楚,大學不適合他。

大約在同一時間,他開始與約書亞討論一個似乎是出路的想法:如果他們創立了自己的新創公司,提供 DDoS 保護,以保護付費客戶免受他們已經非常擅長發起的那種攻擊,會怎麼樣?

對約書亞來說,這是完全有道理的。他在深層次的技術層面上瞭解 DDoS 攻擊,事實上,他已經構建或至少使用了其他 DDoS 保護公司每天都在打擊的許多攻擊工具,並且帕拉斯已經建立了熟練程式師的聲譽,尤其是在 Minecraft 伺服器管理員中,他們可能是一個很好的初始客戶群。

帕拉斯從父親那裡借了1萬美元,他和約書亞用這筆錢共同創立了一家公司:ProTraf Solutions,即“受保護流量”的縮寫。他們看到其他公司努力保護客戶免受新形式的 DDoS 攻擊,他們確信自己可以做得更好。

事情沒那麼簡單。在推出 ProTraf 後,他們意識到他們的潛在客戶並不經常貨比三家來獲得 DDoS 保護。通常,他們覺得沒有必要更換簽約商,除非他們已經擁有的供應商無法保護他們免受攻擊,而這種攻擊很少發生。與此同時,約書亞和帕拉斯在世界各地的伺服器上租用的頻寬,他們用來吸收針對客戶的攻擊流量的緩衝,正在迅速吞噬他們的資本。

很快,他們就想到了一個主意。只有當客戶真正下線時,他們才會考慮切換到 ProTraf。也許這兩位年輕的搭檔只需要加快這個過程。“我們可以等待其中一次中斷,”約書亞說,“或者我們可能導引其中一次中斷。

他們同意:他們將使用自己的DDoS攻擊來打擊競爭對手的客戶,當然,這足以讓他們自己的完全合法的業務站穩腳跟。“我們會做幾次,”約書亞記得當時的想法。“我們會製造一點麻煩,然後我們就會忘記它。我們會停下來的。

約書亞和帕拉斯開始構建新的攻擊殭屍網路,無論他們告訴自己什麼故事,他們都會使用這種殭屍網路,成為一種 DDoS 保護傘。

這兩名少年使用約書亞的舊Qbot代碼重新感染了數千台路由器的新軍隊,並開始使用它來瞄準競爭對手的客戶 – 所有Minecraft伺服器 – 輕鬆消除他們的保護。有一段時間,這種隱晦的勒索計劃實際上奏效了。十幾位 Minecraft 管理員迫切希望重新上線,他們確實轉向了 ProTraf,每人每月支付 150 美元或 200 美元。

這還不夠。他們擴張得太快了,購買的基礎設施消耗資本的超過了收入的補充速度。他們發現,當他們的攻擊停止時,一些客戶又轉回了他們的競爭對手,也許是因為他們感覺到,這些攻擊的時間與這家新創業公司的啟動時間非常接近,有點太方便了。“人們有他們的懷疑,”約書亞說。

約書亞仍在他家庭的電腦維修公司工作,因為他正在努力讓 ProTraf 站穩腳跟。當他不幫助那裡的客戶時,他求助於打電話來鼓動銷售。他想,如果他的父親和兄弟能推銷客戶並建立企業,他也可以。但是,沒有一個拿起電話的人願意聽這個快言快語的少年推銷關鍵了任務安全服務。這些電話是死胡同,約西亞開始討厭打這些電話。

在推出大約一年後,即 2016 年春末,ProTraf 燃燒殆盡了。特別是對約書亞來說,公司迫在眉睫的死亡是難以接受的。他的父母一直為他的商業抱負感到自豪:他似乎正在追隨家族的創業腳步,發揮出他巨大的潛力。他真的要承認他已經失敗了嗎?他感到被困和羞愧。

於是,約書亞開始考慮其他現金流來源。駭客界的一位朋友對他重建受 Qbot 感染的路由器系列印象深刻。

在推出大約一年後,即 2016 年春末,ProTraf 燃燒殆盡。特別是對約書亞來說,公司迫在眉睫的死亡是難以接受的。他的父母一直為他的商業抱負感到自豪:他似乎正在追隨家族的創業腳步,發揮出他巨大的潛力。他真的要承認他已經失敗了嗎?他感到被困和羞愧。

是否願意建立一個新的DDoS殭屍網路。如果是這樣,他會讓客戶排隊支付數千美元的比特幣來訪問它。

Josiah 向 Paras 建議,他們可以接受這個提議並建立一個新的、更大的殭屍網路,將其攻擊能力的一部分出租給出價最高的人,以最後嘗試讓 ProTraf 保持活力。這基本上意味著將公司從保護傘轉變為他們新的、真正的業務的幌子:將網路攻擊作為服務進行銷售。

“聽起來很噁心,”帕拉斯開玩笑說。 聽起來是非法的。

“呃,”約書亞回信說。“一點沒錯”

為了打造他們秘密的 DDoS 雇傭副業的主要武器,約書亞和帕拉斯從頭開始。自 Qbot 創建以來已經過去了幾年,他們都對如何感染和徵用大量物聯網設備提出了一些新想法。

自從約書亞的原始 Qbot 代碼洩露以來,多虧了約書亞的老朋友 vypor——駭客社區一直在穩定升級它。一些版本現在已被重新設計為「蠕蟲」:受感染的路由器會自動掃描其他易受攻擊的設備,並嘗試在自我傳播迴圈中入侵和感染它們。但是,當約書亞和帕拉斯檢查這些較新的殭屍網路系統時,它們似乎效率低下且不可靠。別人被黑的路由器是一個笨拙的有利位置,從中發現新機器中的漏洞。此外,這種分散的設置使他們的機器人軟體升級變得緩慢而困難。

因此,他們設計了一個更加集中的三步結構。他們受感染的機器會掃描其他可被駭客入侵的設備,他們的新系統比他們以前看到的盜版Qbot蠕蟲快一百倍,然後將他們發現的易受攻擊的小工具報告給「載入程式」伺服器,該伺服器將通過telnet入侵機器以安裝他們的惡意軟體。然後,一個單獨的命令和控制伺服器將引導那些受惡意軟體感染的機器人,定期發送新命令以攻擊目標。

帕拉斯和約書亞驚訝地發現,這個新的自動化殭屍招募流程竟然如此強大。約書亞記得,他讓系統運行了一夜,醒來後發現 160,000 個剛被洗腦的路由器隨時準備聽從他的吩咐,遠遠超過他以前控制過的數量。

當他看到他們正在建造的規模時,約書亞的計劃,通過幾次網路攻擊籌集一些資金,然後回到 ProTraf,開始看起來像是浪費了機會,浪費了他的才能。“這很酷,”他記得當時在想。“這是創新的。沒有其他人在這樣做。

隨著殭屍網路規模的爆炸式增長,約書亞向帕拉斯建議,他們甚至可以以每月 2,000 美元或 3,000 美元的價格將火力的一小部分出租給攻擊者,輕鬆超過 10,000 美元的月收入。

“哈哈,”帕拉斯回信說。“艦隊必須有多大。”

“那不會有問題,”約書亞回答道。

看到他們的殭屍網路變得如此之大,如此之快,現在在約書亞身上觸發了一種古老的衝動,比任何利潤動機都更純粹。“這裡的限制是什麼?”他開始問自己。“我們能把這個東西傳播到什麼程度?”

自然而然地,他求助於他的老朋友道爾頓,他總是有推動技術極限的衝動。約書亞和帕拉斯同意讓道爾頓 共同控制他們不斷增長的創作,讓他通過自己的引導服務出售其中的一部分。作為回報,道爾頓將貢獻他的駭客技能來尋找新的設備群體來添加到他們的部落中。

為了最大限度地利用惡意軟體的足跡,道爾頓開始挖掘物聯網的大量漏洞。他在世界各地挖掘了數以萬計的小工具,這些小工具存在未修補的缺陷,這些機器遠遠超出了家用路由器:在線冰箱、烤麵包機和燈泡等智慧設備都成為其聚集的原始計算能力的一部分。所有這些不拘一格的數字物件都具有阿阿相對綠地的優勢。雖然無數駭客爭奪對傳統計算設備(如PC甚至路由器)的控制權,但其中許多新設備仍未受到惡意軟體的影響,也沒有受到爭議。

監控攝像機的數位錄像機系統,其硬體能夠處理大型視頻檔,被證明是特別強大的新成員。一些掃描甚至發現了更奇特的可駭客設備,如連接網際網路的工業水泥攪拌機和市政自來水公司的控制系統。(這三名駭客表示,他們確實避免入侵這些工業設備,因為害怕被誤認為是網路恐怖分子。

他們進入了工作流程。道爾頓會掃描新種類的可利用設備,並編寫代碼來感染它們。約書亞將改進道爾頓 的代碼並創建軟體來控制他們網路小工具的新增功能。

與此同時,帕拉斯專注於在其命令和控制伺服器上運行的管理軟體,隨著殭屍網路增長到近 650,000 台設備,它自己複雜的程式設計任務。他感覺到他們創作的規模很快就會引起人們的注意,於是他自己製造了一條誤導的線索,以隱藏他們的身份,以躲避公眾的監督。為了宣傳殭屍網路,帕拉斯在駭客論壇、Skype、Reddit 和 Jabber 上創建了新的傀儡帳戶,名稱包括 OGMemes 和 Ristorini。然後,他創建了一個與這些句柄相關的虛假「人肉搜索」集合,駭客通常用來識別競爭對手真實身份的帖子,但在這種情況下,所有帖子都指向帕拉斯選擇的人。

為了使他們與殭屍網路的命令和控制伺服器的連接更難追蹤,約書亞在法國發現了一台易受攻擊的伺服器,他們可以將其作為跳轉點,僅通過匿名軟體 Tor 連接到那台被駭客入侵的機器,這使得這台電腦的擁有者看起來是真正的策劃者。這台機器實際上是一個「種子盒」,一個在線的伺服器,通過BitTorrent協議不斷交易盜版電影。

事實上,法國伺服器里充斥著動漫影片,帕拉斯對此有所瞭解。他是日本迷幻動畫節目《Mirai Nikki》的粉絲,在該劇中,一名十幾歲的棄兒發現自己是 12 名魔法手機擁有者之間的大逃殺的一部分,最終劇透警告,利用他手機的力量成為所有空間和時間之神。帕拉斯給朋友發短信說,這部劇“從字面上定義了心理驚悚片的類型”。

帕拉斯知道,他們的程式的檔名現在運行在全球數十萬台設備的基礎上,很快就會臭名昭著。因此,為了與他們將殭屍網路的創作固定在隨機動漫收藏家身上的工作保持一致,他選擇了一個合適的名稱。更妙的是,它還喚起了一位時間旅行者帶回現在的賽博龐克超級武器,一種世界完全沒有準備好的工具:Mirai。在日語中,它的意思是“未來”。

對於艾莉森·尼克森(ALLISON NIXON)和任何其他從外部觀察它的安全研究人員來說,Mirai的出現最初看起來不像是一個新的超級大國的崛起,而更像是一場世界大戰的開始,在這場戰爭中,戰場是網際網路上眾多不安全的小工具。

在 2014 年和 2015 年,也就是她所謂的「殭屍網路之戰」之前的幾年裡,尼克森開始注意到,一群名叫 Lizard Squad 蜥蜴中隊和 vDOS 的虛無主義年輕黑客正在獲取 LiteSpeed 洩露的 Qbot 代碼,然後出售對他們自己的殭屍設備的使用權,或者利用它們來恐嚇和勒索線上遊戲服務。ㄥㄥˇ因此,大約在這個時候開始在安全公司Flashpoint工作的尼克森創造「蜜罐」——網際網路連接的易受攻擊設備的類比,旨在被駭客的機器人軟體感染,在殭屍網路中充當自己的間諜。結果是實時情報源,揭示了引導者的命令和預期目標。

2016年9月初,在監控這些殭屍網路蜜罐時,尼克森和一些同事發現了一個有趣的新代碼樣本,該樣本正在感染路由器和物聯網設備:世界將稱之為Mirai。

這個新代碼似乎能夠檢測到它何時在蜜罐而不是真實設備上運行,並在運行時立即終止。因此,尼克森和她的同事從eBay上訂購了一台便宜的DVR機器(數位影片錄影機),將其連接到網際網路,並看著該設備被Mirai及其競爭對手一次又一次地感染——他們給它起了個綽號“悲傷的DVR”,因為它是受害的生活。

事實上,尼克森不知道的是,Mirai的創造者當時已經陷入了與vDOS的不斷升級的地盤爭奪戰中,vDOS是一個相互競爭的殭屍網路團隊,他們使用更新版本的Qbot建立了一支特別龐大的駭客機器軍隊。Mirai 和 vDOS 團隊都設計了他們的機器人軟體來識別和殺死任何似乎是他們競爭對手的程式,這兩個殭屍網路開始爭奪對數十萬台易受攻擊的機器的控制權,就像軍閥反覆征服和重新征服同一片無人區一樣。

很快,Mirai的工作人員和vDOS就開始匿名向託管對方命令和控制伺服器的公司提出濫用投訴,迫使他們建立新的基礎設施。有一次,一家名為BackConnect的公司,一直託管Mirai的伺服器,由Mirai團隊的熟人經營,遭到了vDOS工作人員的DDoS攻擊。令尼克森震驚的是,BackConnect的回應是使用所謂的BGP劫持,一種極具爭議的策略,本質上是向其他網際網路服務提供者撒謊以誤導大量流量,有效地將vDOS的命令和控制伺服器拉下線。

很快,帕拉斯、約西亞和道爾頓就厭倦了無休止的針鋒相對。他們重新程式設計了Mirai,允許它切斷受害者設備上的telnet連接,從而使它們更難更新,但又阻止了vDOS和任何其他競爭對手輕易重新感染這些機器。這似乎奏效了:對於Mirai團隊來說,vDOS似乎已經放棄了。實際上,他們的對手曾受到執法部門的訊問,後來被捕。

尼克森還記得她和她的研究團隊在看到Mirai贏得那場戰爭並主導網際網路大量易受攻擊的設備時的感覺。曾經,這個混亂的景觀已經感染了豐富多樣的惡意軟體物種。現在,這是她第一次目睹,隨著Mirai卓越的感染技術控制了全球數十萬台聯網設備,所有這些惡意代碼似乎都安靜了下來。“從我們的角度來看,這就像這種新的頂級捕食者在稀樹草原上徘徊,而所有其他動物都消失了,”尼克森說。“從那時起,我們一直在追捕這個怪物。

對於網路安全研究界的大部分人來說,這個龐大的殭屍網路的目的仍然不清楚。他們不知道約書亞,道爾頓和帕拉斯已經開了Mirai的生意,並出售了它的服務,尼克森正在獵殺的怪物本身也在追捕它的第一批受害者。

第二部分

對於布萊恩·克雷布斯來說,2016 年 9 月 22 日是一個不方便的日子,成為歷史上最強大的 DDoS 殭屍網路的目標。

整個上午,一名施工人員一直在更換克雷布斯在弗吉尼亞州北部的農村房屋的壁板。不停的錘擊聲嚇壞了他的狗,它的反應就好像野蠻人正在圍攻他們的家一樣。克雷布斯曾擔任獨立調查記者和安全研究員,是網路安全行業最知名的記者之一。他沒有工作場所可以逃走。“我已經失去了理智,”克雷布斯說。

克雷布斯說,直到那天晚些時候,人們才開始發現他的狗沒有錯。事實上,他被圍困了。野蠻人贏了。

兩天前,為他提供 DDoS 保護的服務 Prolexic 警告他有些不對勁。根據 Prolexic 的測量,他的網站 KrebsonSecurity 遭到了一次攻擊,最高速率達到了令人難以置信的每秒 623 G/bits 公司從未見過如此大的攻擊。但它英勇地設法吸收了流量,Prolexic代表告訴克雷布斯,他的網站一直在線。

“天哪。Prolexic報告說,我的網站剛剛遭到了網際網路有史以來最大的DDOS攻擊”,克雷布斯當晚在推特上寫道。網站仍在運行。

克雷布斯為自己在追捕網路犯罪分子方面的工作感到自豪,這個角色在新聞界幾乎是無與倫比的,也使他成為了很多敵人。他被他的調查目標打了一巴掌,曾經有人把暗網海洛因運到他家,試圖陷害他。來自他報導中受害物件的DDoS攻擊並不是什麼新鮮事。但是,他現在意識到,嘲笑這次襲擊的來源可能是不明智的。

兩天來,他不斷收到 Prolexic 的通知,稱大規模 DDoS 攻擊仍在繼續。事實上,在那段時間,無論誰在攻擊他的伺服器,都在不斷改變策略,發射新形式的數據,這些數據旨在讓 Prolexic 更難過濾掉,或者瞄準更上游的機器。“這些傢伙是真正的混蛋”,克雷布斯說,“他們死也要辦到”。

在這一切中,在襲擊開始36個多小時後,克雷布斯家的一名工作人員設法踢了他的衛星天線,切斷了他家的網際網路連接。他試圖將電腦連接到手機上,但手機的頻寬太不穩定了。攻擊不斷襲來,一場壓倒性的、持續的惡意數位海嘯迎面襲來。

22日下午,克雷布斯還在努力上網時,又接到了Prolexic的電話。這一次,該公司以禮貌但明確的措辭告訴他,他最好找到一個新的DDoS保護來源。他們把他丟下了。世界上最大的 DDoS 防禦公司之一無法再處理其網站的數據洪流的規模。

克雷布斯上了車,開車到當地一家企業的停車場,試圖為他的筆記型電腦找到穩定的Wi-Fi連接。從那裡,他打電話給他的網路託管服務提供者警告說,如果沒有 Prolexic 的防禦層,它即將受到深不可測的數位痛苦的打擊。他建議,與其讓所有客戶都下線,不如將他的網站配置為指向一個不存在的IP地址,本質上是將攻擊流量以及任何試圖訪問他網站的人路由到“地上的一個洞裡”。

託管公司採納了他的建議。KrebsonSecurity.com 立即下線。在接下來的幾天裡,它將保持這種狀態,因為Mirai迫在眉睫,似乎準備在它重新浮出水面的那一刻再次抹去這個網站。

對於克雷布斯來說,被網路犯罪分子成功審查是一種全新的體驗。有人剛剛讓我的網站下線,“克雷布斯回憶道。“我對此無能為力。”

約書亞、道爾頓和帕拉斯已經解鎖了他們的超級武器,網際網路上似乎幾乎沒有任何東西可以抵擋它。

當克雷布斯在推特上說他的網站遭到了「網際網路有史以來最大的DDoS攻擊」時,他幾乎是對的。實際上,Mirai幾乎在同一時間襲擊了法國網際網路供應商OVH,其攻擊量達到了每秒1 Tera/Bits 的更令人震驚的程度。該殭屍網路的數十萬台被駭客入侵的設備也在8月份悄悄地KO了一家網路託管公司和一家Minecraft服務,其攻擊規模幾乎同樣大,但網路安全界大多沒有注意到。

在推出全面運營的死星並可供租用的短短幾個月內,這三名駭客,他們都還太年輕,無法合法飲酒,已經聚集了一批小而忠誠的客戶。據稱,一名名為“Drake”的駭客同伴充當了一種銷售代表:他會定期擊中任意目標,作為一種行銷形式,向潛在的付費客戶展示Mirai的火力。其中一位自稱在俄羅斯的贊助人租用了Mirai,對網路犯罪網路託管世界的競爭對手發動攻擊,摧毀了對手的網站。他們最頻繁的使用者似乎是巴西的一名駭客,他反覆且地租用了Mirai的許可權,對里約奧運會的網路發動攻擊,一度以每秒0.5 Tera/Bits的流量對其進行轟炸。

帕拉斯本人曾幾次用Mirai來對付他的老男孩,羅格斯大學的IT部門,主要只是為了復仇的樂趣。還有一次,他短暫地嘗試用它來對他們的一位前 ProTraf 客戶進行直接勒索,用 Mirai 攻擊猛烈抨擊 Minecraft 伺服器,然後要求支付比特幣。為了減少與 ProTraf 的聯繫,他甚至複製了自己的 ProTraf 電子郵件地址作為贖金票據的收件者。該公司沒有付款。約書亞不贊成帕拉斯的勒索企圖,他們再也沒有嘗試過。

帕拉斯說,是他們的巴西客戶決定將 DDoS Krebs 遺忘。那天,帕拉斯醒來,讀到有關克雷布斯遭受巨大襲擊的新聞報導,克雷布斯是迄今為止最引人注目的Mirai受害者,並立即感到胃裡既興奮又恐懼。“這最好不是我們的殭屍網络,”他記得當時的想法。他檢查了他們的用戶日誌。“這是我們該死的殭屍網络。”

在巴西人早些時候對奧運會的攻擊之後,帕拉斯和約西亞認為這個使用者可能有點太魯莽了。他們試圖限制他與Mirai的訪問,僅僅10分鐘後就結束了他的訓練。但帕拉斯看到,這個虛無主義的巴西人只是在整個晚上一次又一次地手動重新開始對克雷布斯網站的攻擊而且他仍然在繼續。

帕拉斯給約書亞和道爾頓發了消息,他們跳到一個私人的、加密的VoIP伺服器上的緊急呼叫。他們都同意:殲滅一個非常有名的記者的網站已經超越了有益的營銷,進入了一種他們不需要的關注,那種讓你被捕的關注。“你不想戳熊,”約書亞說。“這是一個相當大的戳。”

此時,他們都是19歲或以上。他們是成年人,進行著極其明顯的犯罪陰謀。他們開始意識到,Mirai現在帶給他們的熱度是不值得的。儘管它在生命的最初幾個月造成了所有混亂,但Mirai只賺到了約書亞希望的一小部分錢:總共價值約14,000美元的加密貨幣。即使是世界上最大的DDoS攻擊,對於其肇事者來說,也是一種相對便宜的商品。

他們剛剛推出了這個震撼世界的作品。現在他們已經需要一個退出策略。一兩天後,帕拉斯提出了一個新想法。他們的「俄羅斯」客戶儘管偶爾會租用Mirai,但向他建議DDoS是一門糟糕的生意。錢不夠。太吵了。他建議他們考慮與他合作,利用他們的殭屍網路構建技能來獲得一個更隱蔽、更有利可圖的機會:點擊欺詐。

帕拉斯解釋說,讓所有這些被劫持的機器悄悄地點擊按點擊付費的網路廣告,而不是打擊受害者,他們可以通過無形地欺騙廣告商每月賺取數萬美元,這是一種破壞性小得多的網路犯罪形式。約書亞和道爾頓一致認為,他們應該開始從雇傭網路攻擊行業過渡到這個更受人尊敬的黑市業務。

但是他們還不能完全讓自己殺死他們的怪物。取而代之的是,帕拉斯和約書亞比道爾頓更能控制 Mirai 的目標,他們試圖將 KrebsonSecurity.com 的 IP 位址添加到至少可以結束攻擊的阻止清單中,儘管他們會發現在未來的日子,他們限制最不可預測的客戶的努力再次失敗了。

無論如何,到那時為時已晚。約書亞是對的。他們戳了熊。現在它完全清醒了。

埃利奧特·彼得森(ELLIOTT PETERSON)坐在西北方向數千英里外的聯邦調查局(FBI)阿拉斯加安克雷奇(Anchorage)辦公室,當時他讀到了一則新聞,他熟悉的記者布萊恩·克雷布斯(Brian Krebs)已經從網路上消失了。

當他得知 Prolexic 受到攻擊時,他感到震驚,Prolexic 是一家網際網路巨頭 Akamai 旗下的公司,其整個商業模式都依賴於處理巨大的流量,以至於它基本上可以堵塞世界上最大的數位管道之一。而這一切都是為了讓記者保持沉默。彼得森知道他剛剛見證了一個新時代的開始。“突然之間,全世界都醒悟過來,有人在亂跑,”他說。“沒有人為此做好準備。”

自從彼得森在匹茲堡網路犯罪會議上看到艾莉森·尼克森(Allison Nixon)的現場引導演示以來,已經過去了兩年。從那以後,他回到了家鄉阿拉斯加,在聯邦調查局最小的外地辦事處接受了一項任務,並將其變成了一個不太可能的打擊殭屍網路和引導程序行動的中心。就在幾天前,他得知vDOS的兩名管理員在以色列被拘留,他們是Mirai船員最近與之交戰的敵對駭客。幾個月來,彼得森一直參與 vDOS 的調查。事實上,由此產生的蕭條是Mirai最終贏得這場競爭的真正原因。

現在,彼得森感到不安的是,這次擊倒只是為揮舞著更大武器的人清理了場地。他知道他也需要接手這個案子。

他在「網路中庭」的小隔間工作,一個玻璃屋頂的圍牆,裡面關著少數聯邦調查局特工,他開始挖掘專注於安克雷奇野獸派的紅磚聯邦大樓內的網路犯罪。他和尼克森幫助創建了一個名為 Big Pipes 的行業工作組,負責處理 DDoS 攻擊,他立即從那裡的聯繫人那裡得知,Akamai 遭到了一個名為 Mirai 的神秘新殭屍網路的攻擊。

即使在克雷布斯正在展開的危機中,彼得森也明白,要讓安克雷奇辦公室對付這個新怪物,他首先必須克服一個法律障礙:他需要證明它的受害者或創造者都在阿拉斯加。克雷布斯和阿卡邁相距數千英里。因此,他意識到他必須以某種方式在自己的狀態下找到受Mirai感染的設備。幸運的是,到那時,有數十萬台受感染的設備在線,這種數位流行病幾乎覆蓋了世界上每個國家。

與此同時,彼得森只能無助地看著克雷布斯的網站被Mirai離線超過48小時。直到那時,克雷布斯才終於在新的DDoS防禦者谷歌的幫助下設法恢復了它。這家網路巨頭最近將一項名為Project Shield的無償DDoS保護服務擴展到更廣泛的使用者,並渴望證明自己能夠抵禦網際網路上最大的攻擊。

在KrebsonSecurity恢復後的兩個小時內,它又收到了Mirai的攻擊。帕拉斯說,該網站的IP位址已經改變,所以他和約書亞的阻止名單並沒有阻止他們的巴西客戶重新發起攻擊。但這一次,該網站仍然在線。

谷歌聯繫了聯邦調查局,在克雷布斯的許可下,該公司最終分享了一份IP清單,這些IP是Mirai攻擊流量的來源。彼得森和他的四人團隊開始梳理它。果不其然,他在數據中看到,Mirai已經感染了阿拉斯加以及該國幾乎所有其他州的設備。他開始追蹤阿拉斯加的設備擁有者,試圖在電話中向他們解釋,他們的路由器和安全攝像頭系統在不知不覺中變成了炮灰。最後,彼得森得到了休息:他設法說服了凱奇坎鎮一家狩獵小屋的主人拔掉其受惡意軟體感染的安全攝像頭DVR,並將其運送到安克雷奇進行解剖並用作證據。

彼得森找到了他在阿拉斯加的受害者。他展開了一項調查,以追捕Mirai背後的駭客。

在海軍陸戰隊服役後,但在加入聯邦調查局之前,埃利奧特·彼得森曾在密歇根州的一所大學擔任「男院長」。在那份工作中,他説明了有情緒問題和藥物濫用問題的孩子,基本上充當了指導顧問和導師。對於未來的聯邦特工來說,這是一個不尋常的角色,但這兩份工作反映了彼得森奇怪的混合性格:一半是按部就班、嗡嗡作響的 G-man,一半是善意、友好的中西部青年牧師。

彼得森將同樣奇特的親切帶入了他的 Mirai 追捕中。他開始禮貌地在駭客論壇的人群和他們的同類中四處打聽,這是他多年來跟蹤引導服務時熟悉的場景:誰可能認識任何出售Mirai訪問許可權的假名駭客?

在開始調查後不久,他在安克雷奇辦公室的團隊得到了一個很好的消息來源的線索。他們設法從受感染的設備中獲取了Mirai代碼的完整樣本,並發現它打電話給由DDoS緩解公司BackConnect託管的命令和控制伺服器。彼得森知道這個名字。當BackConnect受到 Mirai 競爭對手的攻擊時,他一直在追捕 vDOS 工作人員;在明顯的自衛行為中,該公司使用 BGP 劫持將 vDOS 的基礎設施拉下線,這一流氓舉動幾乎破壞了 Peterson 的 vDOS 調查。

因此,他給BackConnect的管理層打了幾個電話,詢問該公司的BGP劫持事件和他們託管的Mirai伺服器(後來搬到了其他地方),以及他們是否與控制它的人有任何聯繫。BackConnect的工作人員說他們沒有,但建議了一個可能的人:他們來自一家名為ProTraf Solutions的公司的熟人Paras Jha,似乎與Mirai的幕後黑手有過接觸。

畢竟,帕拉斯收到了一封來自發起 Mirai 攻擊的人的勒索電子郵件,Peterson 和 BackConnect 都不知道 Paras 自己發送了這封電子郵件,他們聽說他與一位名叫 Ristorini 的 Mirai 處理者聊天。

於是彼得森撥打了ProTraf的電話號碼,並留下了語音信箱。帕拉斯給他回了電話。彼得森記得帕拉斯與他禮貌、友好的語氣相符,並冷靜地解釋說,是的,他一直在網上聊天中與裡斯托裡尼保持聯繫。但他不知道那個試圖勒索他以前的顧客的人的真實身份。

帕拉斯保持了簡短的談話,但表示他一定會繼續四處打聽,並在他瞭解更多資訊后儘快聯繫以任何可能的方式提供説明。然後他掛斷了電話,立即打電話給道爾頓和約西亞,告訴他們聯邦調查局正在追蹤他們。

這一次,他們的緊急會議陷入了恐慌:他們現在需要拋棄未來。

道爾頓建議他們乾脆拆除Mirai的基礎設施,擦除命令和控制伺服器以及載入程式伺服器,並摧毀他們用來管理它的每台電腦的硬碟。“盡可能低地躺著,殺死整個東西,粉碎我們的驅動器,”正如他所說。然後,他們可以悄悄地轉向更有前途的點擊欺詐業務。

帕拉斯還有另一個想法:他們把Mirai的原始程式碼放到野外怎麼樣?如果他們在駭客論壇上公開發佈它,它就會被世界上每個喜歡DDoS的駭客所採用,就像Qbot曾經一樣。他們可能會消失在人群中,這使得這位愛管閒事的阿拉斯加聯邦調查局特工或其他任何人都很難在山寨攻擊的洪流中識別出最初的 Mirai。

道爾頓強烈反對。他認為,發佈原始程式碼只會引起人們對Mirai的更多關注,造成更大的損害,並使執法部門更加傾向於尋找殭屍網路的原始建立者。

這個電話變成了一場全面的喊叫比賽,這是三個朋友第一次真正參加。道爾頓對帕拉斯大喊大叫,不要發佈代碼。帕拉斯仍然不為所動。與此同時,約書亞無動於衷地聽著,被困在朋友之間,無法打破聯繫。

當他們掛斷電話時,他們已經同意他們的Mirai冒險已經結束。但他們在如何處理其原始程式碼方面仍然存在分歧。

所以帕拉斯自己行動了。幾個月前,他在駭客論壇上創建了一個新的傀儡帳戶,作為 Mirai 策劃者的另一個潛在個人資料:他稱這個人為 Anna-Senpai,以日本動畫節目 Shimoneta 的反派命名,或“肮髒的笑話”,以符合 Mirai 熱愛動漫的封面角色。

現在,在9月下旬,他再次以Anna-Senpai的身份登錄,發佈了一個驚人的公告。“我賺了錢,現在有很多眼睛在關注物聯網,所以是時候離開了,”他寫道。“所以今天,我為你準備了一個驚人的版本。”然後,該帖子連結到Mirai原始程式碼的下載頁面,以及一個教程,詳細介紹了任何人如何使用它來創建自己的大規模,自我傳播的物聯網攻擊工具。他在另一篇帖子中補充說,安娜-森派現在正在逃亡,逃離他們在法國的家,前往一個非引渡國家。

有人正在使用山寨殭屍網路來攻擊一家遊戲公司,而附帶損害是世界上有史以來最嚴重的網際網路中斷。

帕拉斯剛剛把超級武器的配方扔進了一個坑裡。除了拋出煙幕來抵禦聯邦調查局之外,它還是一個最後的、史詩般的巨魔:一種動搖網際網路螞蟻農場的方式,這一次是在全球範圍內,看著螞蟻爭先恐後。

駭客論壇社區對此做出了相應的回應,對他讚不絕口,並欽佩Mirai的精美程式設計。一些使用者寫道,這必須是專業人士的工作,而不是論壇上典型的青少年崇拜者。“你他媽的傳奇,”一位使用者寫道。“今年的洩漏,”另一位寫道。

幾天之內,一位用戶回應說,他們已經成功地使用原始程式碼創建了自己的 Mirai 殭屍網路,其中包含 30,000 台設備。另一個人插話說,他們的機器已經達到了86,000台。“光榮的複製粘貼將會發生,”另一位讚賞的駭客寫道。“物聯網殭屍網络將像野火一樣蔓延。

“有史以來最好的 haxoring 工具!要幹掉eribody!“另一位Hack Forums粉絲寫道,總結了興高采烈的心情。“我一直想要一個可以 DDoS 攻擊的殭屍網络!”

彼得森看到Mirai代碼被扔到網上時深感沮喪,他認為這一舉動是令人震驚的魯莽。但是,彼得森並沒有像帕拉斯所希望的那樣被拋棄,而是立即想到:他的閒逛是否激發了這一切?他和帕拉斯的談話與此有關嗎?

在 Anna-Senpai 的 Mirai 發佈後不久,Peterson 又在這個案子上得到了突破:一些與反 DDoS 組織 Big Pipes 合作的大學研究人員告訴他,他們在蜜罐機器的日誌中發現了一條線索,該機器旨在監控網際網路掃描。兩個月前的 8 月 1 日,他們能夠看到一種原型 Mirai 掃描工具,也許是殭屍網路偵察代碼的最早版本,已經從美國的 IP 位址探測了他們的設備。

Peterson 聯繫了IP的託管公司,要求提供其背後的身份,並得到了一個訂閱者名稱:Josiah White。ProTraf 解決方案的另一位聯合創始人。

聯邦調查局特工再次打電話給ProTraf,這次與約書亞通了電話,表現出同樣友好的語氣。約書亞試圖聽起來很專業,但對Peterson的發現感到措手不及,他緊張地承認,是的,他“做了一些掃描”。畢竟,掃描網際網路不是犯罪。然後他懇求不要再回答任何問題,掛斷了電話。

Peterson 對 Mirai 團隊的運營安全性很著迷,甚至印象深刻:代理的精心分層,他在追蹤這些聯繫時到達的死胡同,他為 Mirai 的處理程式帳戶找到的“人肉搜索”,所有這些似乎都讓他誤入歧途。但現在,在他進行調查的幾周,他知道約西書早期的掃描失誤使他能夠避開所有這些混淆和誤導。他的團隊開始向電子郵件和網際網路服務提供者發送一系列法律請求,要求每個帳戶與Paras為Mirai創建的一次性配置檔以及Paras和Josiah本人以及ProTraf Solutions的配置檔相關聯。

當彼得森在駭客論壇上挖掘時,他也注意到,還有另一個有趣的帳戶,有時會出現在Anna-Senpai的帖子,一個叫做Fireswap的帳戶。他們似乎經常在為Mirai的創造者辯護,並抨擊對其原始程式碼的批評者。因此,Peterson 向駭客論壇發送了 Fireswa的電子郵件地址(fireswap1337@gmail.com)的法律請求,然後要求 Google 提供該使用者的訂閱者數據。

通過查看 Fireswap 的 Google 帳戶上的登錄資訊,該帳戶註冊給一個名叫 Bob Jenkins 的人,他可以看到它們來自同一個 VPN 或代理伺服器 IP 位址,這些 IP 位址被小心翼翼地用於創建虛假的 Mirai 人肉搜索—有時只相隔幾分鐘。但是,在某些情況下,「Jenkins」有一個不同的IP:Paras用來連接到他的ProTraf電子郵件帳戶的IP。

帕拉斯從未懷疑過調查人員會考慮調查他創建的用完即丟的電話帳戶,該帳戶只是為了在駭客論壇上為自己加油,並對批評者進行抨擊。現在,它已成為將他與Mirai聯繫在一起的缺失環節。

彼得森仍然沒有聽說過道爾頓·諾曼。但他現在相信他已經找到了Mirai的兩位創造者。他們的網路犯罪生涯已經結束。但是,他們邀請到網際網路上的混亂才剛剛開始。

一旦它被完全釋放並在野外繁殖,Mirai 並沒有立即破壞網際網路。花了三個星期。

2016 年 10 月 21 日上午,艾莉森·尼克森 (Allison Nixon) 剛開始在曼哈頓中城荒涼的西部邊緣的一家舊服裝廠 Flashpoint 的辦公室工作,一位同事向她指出網際網路存在嚴重問題。

具體來說,它的網域名稱伺服器壞了。功能變數名稱系統是一種將人類可讀的功能變數名稱轉換為IP位址的機制,這些IP位址實際上將網際網路流量路由到託管服務的電腦。例如,網域名稱伺服器允許您記住“Google.com”而不是 2001:4860:4000:0:0:0:0:0,作為告訴瀏覽器載入搜尋引擎的方式。

那天早上,數十個網站的網域名稱伺服器似乎癱瘓了。美國各地的網際網路使用者都在瀏覽器中輸入需要翻譯成數位的名字,而翻譯人員已經被淘汰了。“有大事發生,”尼克森記得一位同事對她說。“我們需要弄清楚發生了什麼。

當尼克森的團隊嘗試向一些受影響的網站發送網域名稱解析請求時,他們發現所有網站都使用相同的新聞網站,社交媒體,流媒體服務,銀行網站以及斯科特·夏皮羅(Scott Shapiro)和數百萬其他使用者徒勞無稱功的其他數十種主要服務。 一家名為Dyn的公司。儘管尼克森當時還不清楚,但至少有75,000個網站處於離線狀態。

為了尋找這場正在發生的網際網路崩潰的根本原因,她檢查了她的“悲傷DVR”生成的攻擊日誌,到現在為止,她的團隊已經有幾台DVR作為誘餌。果不其然,她可以看到,Mirai的變種是Paras洩露原始程式碼後幾周內萌芽的眾多模仿者之一,一直在無情地轟炸索尼PlayStation遊戲網路的Dyn DNS伺服器。這次攻擊的影響顯然已經蔓延到癱瘓了 Dyn 的整個 DNS 系統。有人使用他們的山寨殭屍網路來攻擊一家遊戲公司,典型的駭客論壇行為,附帶損害是世界上有史以來最嚴重的網際網路中斷。

尼克森一直警告的虛無主義、青少年焦慮、巨型DDoS攻擊終於到來了。“為了準備那一天,我們工作了很長時間,這有點證明,”尼克森說。“在另一個層面上,這是超級,超級緊張。

在對 Dyn 的襲擊開始後不久,尼克森設法聯繫了 Dyn 的某個人,並分享了指向 Mirai 的證據,直到那時,Dyn 才知道嫌疑人。當時,Dyn 員工很著急,但仍然相信他們能夠處理問題並讓他們的伺服器重新上線。

大約在同一時間,還是在東部時間上午9點之前,Dyn真正開始內爆。

DNS 記錄被設計為像一種分層電話樹一樣工作。像谷歌和康卡斯特這樣的主要服務有自己的DNS伺服器,隨時準備回答請求域IP地址的伺服器,並且它們只定期與“權威”DNS提供者(在本例中為Dyn)聯繫,以確保他們分發的位址沒有改變。某些服務每分鐘簽入多次,而其他服務則在刷新數據之前引用其上次更新的 DNS 數據數小時。

在Mirai攻擊發生後的幾分鐘內,Dyn就已經陷入了困境,因為DNS伺服器設置為每15秒、30秒或60秒檢查一次新的DNS記錄,這重創了該公司不堪重負的權威伺服器。當他們沒有得到答案時,他們會一遍又一遍地問。畢竟,他們被設計成期待答案:像 Dyn 這樣大的權威 DNS 供應商以前從未倒閉過。

但隨著時間的流逝,Dyn 的伺服器一直處於宕機狀態,DNS 請求的合唱開始包括每小時才簽入一次的主要服務。然後是每兩個小時檢查一次的。還有三個。現在所有人都加入了暴徒的行列,不停地敲打著Dyn的門。一些網際網路服務甚至將他們的DNS系統設計為在現有DNS伺服器沒有得到回應時自動啟動新的DNS伺服器來詢問答案,從而增加了查詢的彈幕。

“一旦集體故障開始,每個人都變得非常非常緊張,”襲擊當天在Dyn工作的一個人說。“在此之前,這些圖表看起來很尷尬,但它們看起來並不是災難性的。但後來他們翻倒了,因為主要服務無法獲得回應,數字開始向右飆升。

換句話說,Mirai襲擊引發了連鎖反應。網際網路的IP位址目錄系統本身就是 DDoS。

與此同時,Dyn 開始經歷一種平行的人類 DDoS 攻擊,因為人們開始要求以幾乎相同等級結構要獲得答案。擁有昏迷網站的憤怒企業客戶開始轟炸 Dyn 的電話線。當管理層無法回答他們的問題時,他們會在組織結構圖上向已經完全不知所措的工程師提出這些問題。“當尋求答案的管理層和客戶服務人員與能夠提供任何答案的人數之比開始爆炸式增長時,”Dyn 員工回憶道,“這才真正開始讓人感覺像是混亂。

使問題更加複雜的是近乎滑稽的時機巧合:就在那一天,一個Dyn員工團隊正在等待甲骨文簽署檔,以完成收購他們公司的交易,據報導,收購價格超過6億美元。沒有人願意被人們記住,在這個重要的時刻,新老闆們觀看的第一天未能保持網際網路在線的中層經理。在所有這些企業恐慌中,有一股謠言暗流湧動,謠言說中國或俄羅斯是罪魁禍首,他們要面對的是一個無所不能的國家支援的駭客行動。

約書亞走過一條黑暗的走廊,還想把襯衫套在頭上,這時他發現一個手電筒筒和一把槍指著他的臉。

這些謠言是短暫的。從某些方面來衡量,就是全面斷網。到那天下午,Dyn已經設法控制了攻擊,並開始向其用戶端零碎地發送DNS回應,使不同的網路一個接一個地從其伺服器中呼喚答案。

但 Dyn 斷網後留下的損害持續了更長的時間。全球網際網路中很大一部分離線半天的總經濟成本很難衡量。索尼的PlayStation Network是攻擊的最初目標,該公司報告的凈收入損失估計為270萬美元。在攻擊發生後,有預測稱,Dyn一度損失了大約8%的合約網路功能變數名稱(總共超過14,000個),並在未來損失了數百萬美元的收入。

當 帕拉斯、道爾頓和約書亞看到用他們的代碼構建的殭屍網路破壞了網際網路的骨幹網時,他們做出了一系列反應。帕拉斯記得,當時我感到震驚,因為這太容易了:發動攻擊的Mirai複製用不到10萬台設備攻擊了Dyn,只是他們原始殭屍網路規模的一小部分。道爾頓感到一種嚴峻的“我告訴過你”的感覺,確認他對發佈原始程式碼的危險是正確的,以及知道它肯定會引起更多熱度的壓力,但他也帶著一絲自豪地指出,無論誰進行了這次震撼網際網路的攻擊,甚至沒有更新他們的代碼。“根本沒有創新,”他說。

在這三個年輕人中,約書亞已經與聯邦調查局關係最密切,他可能是最麻煩的。那時,他的家人已經搬出了賓夕法尼亞州的鄉村,搬到了附近華盛頓鎮的一棟三層樓的房子。在那裡,他從他現在用作工作區的地下室儲藏室里讀到了關於Dyn災難的資訊,他因恐懼和驚訝而沉默。

至於埃利奧特·彼得森(Elliott Peterson),他花了一天時間在聯邦調查局的安克雷奇辦公室,接聽來自每個可以想像到的機構和官員的電話。在一個月的時間,他的案子已經從網路安全行業的好奇心發展成為一個國際性的集群,這是國土安全部和在白宮新聞發佈會上提問的記者迫切關注的話題。

沒有人知道是誰製造了攻擊 Dyn 的山寨 Mirai。但彼得森相信他已經知道是誰創造了Mirai,並將代碼交給了這些攻擊者。是時候去拜訪約書亞和帕拉斯了。

就在早上6點之前,在一月中旬的那個早晨,太陽還沒有升起,約書亞就聽到了敲門聲。

兩個月來,他一直在等待突襲。他現在保持著夜間作息,與帕拉斯和道爾頓一起在電腦前工作到淩晨 3 點或 4 點,然後睡到早上8 點,然後前往他父親的電腦維修店。但那天晚上,淩晨4點過後終於上床睡覺了,他仍然醒著,他的腦子裡充滿了焦慮。

當砰砰聲響起,他的哥哥從他們共用的地下室臥室匆匆上樓時,約書亞走進儲藏室,迅速關掉了電腦。Mirai 的三位建立者都小心翼翼地對遠端伺服器進行駭客攻擊,並且僅從在他們自己的 PC 上運行的臨時虛擬機連接到它們。因此,他認為關閉電腦會擦除記憶體中任何揮之不去的數據。然後,在關掉手機之前,他使用加密的消息應用程式Signal向Paras發送了一條消息:“911”。

約書亞穿上一條運動褲,抓起一件T恤。他爬上樓梯,走過一條黑暗的走廊,仍然試圖把襯衫蓋在頭上,這時他發現一個手電筒照射他,或者更確切地說,他後來才知道,是一把裝有手電筒的槍,指向他的臉。“放下襯衫,”他記得一個特工說。

在賓夕法尼亞州西部寒冷的冬日空氣中,約書亞被趕到他的前廊上,仍然光著膀子,他的家人已經被關押在那裡。黑人郊區擠滿了街道。埃利奧特·彼得森(Elliott Peterson)在門廊上,用他奇怪的合群語氣向約書亞打招呼。“哦,嗨,約書亞。我希望我們不會在這種情況下見面,「約書亞記得他說。“但我在這裡。”

在讓約書亞驚慌失措的家人在寒冷中瑟瑟發抖了幾分鐘,特工們把他們都帶回了屋裡。當他們搜查房子時,約書亞設法穿好衣服,坐在客廳。但即使他熱身了,他仍然無法停止顫抖。當他的秘密生活終於闖入他的家庭生活時,他記得自己感到特別尷尬,因為他離開了聯邦調查局正在搜查的儲藏室,如此不整潔。

除了彼得森之外,喬書亞還看到匹茲堡當地的聯邦調查局官員加入了突襲行動,法國特別情報官員也加入了突襲行動。他後來才知道,法國執法部門還用一個裝滿動漫的伺服器突襲了法國某個無辜的餡餅的家。

經過幾個小時的搜查,特工們拿走了約書亞的電腦、硬碟和電話,彼得森請約書亞和他的父母到餐廳裡談話。“你可能知道我為什麼在這裡,”彼得森說。約書亞回答說他能猜到。

談話持續了大約半個小時。彼得森調出Mirai掃描伺服器,約書亞再次偏轉,什麼也沒承認。

 第二天,對帕拉斯家的突襲來了。彼得森曾希望同時進行搜查,但決定他應該在這兩個地方都在場,所以他在離開約書亞家後花了幾個小時開車穿過賓夕法尼亞州350多英里進入新澤西州。

早上6點,帕拉斯聽到了他家前門的敲擊聲,他從羅格斯大學回家過寒假。多虧了約書亞的警告,第二次突襲的威懾效果遠不如第一次:帕拉斯在聯邦調查局特工到達之前很久就仔細清理了他電腦上的所有證據,並關閉了它們。為了找到帕拉斯藏匿的任何存儲設備,特工們帶來了一隻電子嗅探犬,這隻狗受過訓練,可以聞到電腦硬體元件中使用的膠水。帕拉斯記得它想和他家的狗一起玩,這個滑稽的時刻有助於消除任何震驚和敬畏。

當帕拉斯親自見到彼得森時,他的第一反應是惱火,因為這位削球手聯邦調查局特工從阿拉斯加遠道而來,把他的家顛倒過來。彼得森問帕拉斯,約書亞是否告訴過他前一天搜查約書亞家的事情。彼得森以為約書亞按照指示保持沉默,他希望在帕拉斯身上種下一種背叛感,因為他的朋友沒有給他提個醒。

但帕拉斯反而微笑著說,是的,約書亞警告過他,這讓彼得森大吃一驚。就像他前一天的朋友一樣,帕拉斯拒絕承認與未來有關的任何事情。

帕拉斯的家人對這次入侵深感震驚。但當特工離開時,他向父母保證,這完全是一場誤會,他不知道為什麼這位阿拉斯加聯邦調查局特工似乎對他如此執著。他沒有做錯任何事。

帕拉斯、約書亞和道爾頓討論了這次突襲,他們得出了一個非常樂觀的結論:聯邦調查局似乎沒有任何東西。他們同意,搜查是一種恐嚇策略,但他們失敗了。

在聯邦調查局搜查帕拉斯家的同一天,布萊恩·克雷布斯發表了一篇重磅文章,暗示帕拉斯可能在喬西亞的説明下,是安娜-森派背後的最有可能的身份。克雷布斯正在利用自己的消息來源,將聯邦調查局所建立的許多相同聯繫拼湊在一起。但帕拉斯在回應克雷布斯時否認了這一指控,這三名駭客帶著年輕人令人難以置信的傲慢,將這篇文章作為間接證據炸毀了。畢竟,聯邦調查局已經開槍了,似乎沒有得到任何可以證明他們有罪的東西。

幾個月過去了,他們仍然逍遙法外,他們做出了一個厚顏無恥的決定:他們將繼續轉向點擊欺詐計劃。

事實證明,這項新冒險比Mirai更有利可圖,甚至他們從未想像過。為了避免與過度曝光的殭屍網路聯繫在一起,他們開始建立一個新的殭屍網路,這次主要集中在美國的設備上,因為他們可以通過出售美國計算機來獲得美國廣告的點擊量來賺最多的錢。到 2017 年春天,他們悄悄地每月獲得 50,000 美元的收入,由一個似乎是東歐的商業夥伴以加密貨幣支付。

帕拉斯和約書亞大部分時間都把錢拿走了,等待機會試圖通過合法業務洗錢,儘管那時他們終於放棄並殺死了 ProTraf。道爾頓就不那麼小心了。他花了數萬美元為父母買了一台70英寸的平板電視——他告訴他們,他通過交易加密貨幣賺到了錢並升級到他的家用電腦,一台遊戲台式機,周圍環繞著透明的紅色冷卻液管,以防止它在提高性能時過熱。

即使這三名駭客離開了Mirai,他們的代碼仍然困擾著全球網際網路。Mirai襲擊了英國銀行勞埃德銀行集團(Lloyds Banking Group)和巴克萊銀行(Barclays),間歇性地將勞埃德銀行(Lloyds)下線,而巴克萊銀行(Barclays)則擊退了猛攻。另一次襲擊了賴比瑞亞的主要行動電信供應商,每秒約500吉比特的流量,破壞了西非國家的大部分連接。

但Mirai及其許多惡意後代不再是其創造者的問題。這三個年輕人現在終於以一種真正有利可圖和隱蔽的網路犯罪形式大踏步前進。道爾頓對自己做了一個預言:「一年後,我們要麼變得富有,」他想,「要麼我們就會坐牢。

直到幾個月後,約書亞才再次收到艾略特·彼得森的來信。聯邦調查局特工請他來安克雷奇談談。檢察官建議進行反向辯護會議,在那裡他們將列出對他不利的證據。這時,約書亞有一位律師,他建議他參加會議,不要告訴他的朋友。這一次他沒有。

2017年夏天,約書亞和他的母親飛往安克雷奇。這10個小時的飛行是他第二次坐飛機。在與檢察官會面的那天早上,他穿著西裝來到安克雷奇司法部大樓,他的頭腦幾乎因焦慮而癱瘓。彼得森在那裡,他向約書亞和他的母親打招呼,建議他們在城裡時應該參加有趣的活動,就好像這是一次家庭度假一樣。

接手Mirai案的阿拉斯加助理美國檢察官,一位名叫亞當·亞歷山大(Adam Alexander)的年輕檢察官,具有指控暴力犯罪和剝削兒童的背景,他開始在會議室前面的螢幕上投影PowerPoint演示文稿。他首先展示了違反《電腦欺詐和濫用法》的量刑指南,展示了監禁時間如何根據造成的損害程度而增加。

亞歷山大表示,對於約書亞可能要承擔的數百萬美元損失,他因初犯而面臨長達六七年的監禁。

亞歷山大開始詳細說明他們掌握的對他不利的證據。首先,他們與早期的Mirai掃描伺服器建立了聯繫。然後它更進一步:有時,事實證明,約書亞以微小但暴露的方式放鬆了警惕,直接從他的家用電腦檢查另一台 Mirai 伺服器的 IP 位址,而不是使用不會在他的 PC 上留下任何痕跡的遠端虛擬機。

然後是他和帕拉斯在Mirai前的DDoS攻擊前對羅格斯大學網路進行攻擊時交換的簡訊。

“你還在砸嗎?”約西亞曾寫信給帕拉斯。

“不。電話不安全,“帕拉斯明智地回應道。但是,幾分鐘後,他請求約書亞幫助發動另一次攻擊:幾乎沒有編碼的“海軍上將,你能執行我的命令嗎?”的資訊。

一個多小時後,他們休息了一下。約書亞的律師告訴他和他的母親,他強烈建議他們尋求認罪協定,並要求約書亞與聯邦調查局合作,他“不應該碰運氣”。約書亞對迫在眉睫的多年監禁威脅感到恐懼,自從他與彼得森第一次通話以來,這種威脅一直在慢慢實現,他立即同意了。

當他們在一個不同的、小得多的會議室重新開會時,約書亞告訴彼得森和亞歷山大,他已經準備好談判達成協定。他們回答說,他首先需要告訴他們他犯罪的完整、真實的故事。令他們鬆了一口氣的是,他開始詳細說明整個Mirai陰謀。聯邦調查局特工和檢察官很想更多瞭解道爾頓所扮演的關鍵角色,而道爾頓在此之前並沒有成為他們的調查目標。他們驚訝地聽到,即使在突襲之後,Mirai的工作人員現在也參與了一個全新的點擊欺詐殭屍網路計劃。他們對此一無所知。

彼得森和亞歷山大告訴約書亞,如果他想有機會達成認罪協定,仍然沒有任何避免入獄的承諾,他必須充分合作。這意味著要説明收集他朋友的證據。

約書亞現在處於生存模式,他準備盡一切努力遠離監獄。當他飛回賓夕法尼亞州時,他已經是一名聯邦線人。

道爾頓和帕拉斯看得出來,約書亞的行為很奇怪。他以前從未在任何技術問題上超然或落後。現在,在他們的群聊中,他更安靜了,會莫名其妙地要求他們以不同尋常的細節分解他們的犯罪活動是如何運作的。

他們心存疑慮,並盡最大努力只使用複雜的暗語和假設來討論他們的陰謀。但是他們不能通過與約書亞對峙或將他從他們的交易中剔除來讓自己違反友誼的不言而喻的條款。“我們都知道出事了,”道爾頓說。“但我們沒有任何證據。我不想僅僅因為我被勾勒出來就把他操了。畢竟,這是他們的老朋友,傳奇的 LiteSpeed,他們作為殭屍網路大師的職業生涯非常感激他。

至於約書亞,他說他在家族的電腦維修店工作多年,説明他為雙重間諜的新角色做好了準備。“當你在零售業工作時,你習慣於擺出一副面孔,”他說,“與人們交談他們希望被談論的方式。

當聯邦調查局終於在黎明前到達時,道爾頓鬆了一口氣。他們發現他穿著平角短褲,裹著粉紅色的毯子,在豆袋上看《星球大戰》。

幾周後,帕拉斯接到了彼得森的電話,提出在安克雷奇會面。帕拉斯把邀請告訴了道爾頓,但沒有告訴喬書亞,他開始不信任他。他們一致認為,帕拉斯與這位聯邦調查局特工會面並確切瞭解聯邦調查局對他們的看法是有道理的。

自突襲他的家以來的六個月裡,帕拉斯一直否認,擺出一副挑釁的面孔,但默默地生活在一種潛在的恐怖狀態中。他的家人再也沒有討論過聯邦特工對他們家的創傷性侵犯,而是假裝從未發生過。正如帕拉斯所說,他們“正在經歷一個家庭的行動”,“但每個人的頭上都籠罩著這片烏雲。

當帕拉斯和他的父親飛往安克雷奇時,寂靜的烏雲仍然存在。他們與帕拉斯的律師一起,在司法部的同一個會議室會見了彼得森和亞歷山大,並從彼得森那裡得到了同樣愉快的徒步旅行建議。當檢察官將一個又一個的證據扔到螢幕上,在他父親面前擺出他的罪行時,帕拉斯試圖保持一種無情的表情。他們展示了帕拉斯與Mirai手柄和Anna-Senpai的聯繫,以及他的Fireswap拋棄式帳戶

儘管如此,帕拉斯告訴自己,這個案子遠非明確。然後,亞歷山大在房間播放了三名駭客的一系列錄音,明確討論了他們新的點擊欺詐活動。有一次談話,來自帕拉斯和道爾頓喝酒放鬆警惕的那天晚上,特別有罪。對於帕拉斯來說,這是約書亞背叛的第一次確認。

就像約書亞一樣,會議在一個小時候暫停休息。帕拉斯、他的父親和他的律師從檢察官辦公室走過馬路,走進安克雷奇博物館前的一個小公園,那裡有一棵紙樺樹。那是一個陰天,儘管帕拉斯說他的焦慮已經達到了他脫離的程度,幾乎不知道周圍的環境。

帕拉斯的律師與他平起平坐:這聽起來很像他犯了罪,直到那時,他甚至對自己的律師都否認了這些罪行。站在公園裡,帕拉斯終於崩潰了。他承認,他與父親和律師擠在一起,淚流滿面,因為他解開了幾個月來一直被裝在瓶子裡的羞恥、內疚和恐懼。

他要求父親與他斷絕關係,懇求他讓他獨自面對他給自己帶來的任何懲罰。他的父親用和帕拉斯一樣破碎的聲音回答說:他永遠做不到。

相反,他和律師都告訴帕拉斯,現在沒有其他出路了。他自救的唯一機會就是做聯邦調查局和檢察官要求他做的任何事情。

他們不知道的是,彼得森和亞歷山大已經從街對面的窗戶看到這三個人說話了。從帕拉斯的肢體語言中,他們可以看出他們已經取得了突破。

當帕拉斯回到屋內時,他變成了一個不同的人,他的防禦能力下降了。“你進洞了,帕拉斯,”彼得森告訴他。“是時候停止挖掘了。”他準備合作。

亞歷山大問他是否告訴過任何人他要來阿拉斯加,他承認他告訴了道爾頓。因此,亞歷山大和彼得森要求帕拉斯現在就當場用行動電話給道爾頓打電話,告訴他沒有什麼可擔心的。

帕拉斯按照他的吩咐做了。道爾頓接了電話。當聯邦調查局和檢察官圍坐在桌子旁專心致志地聽著時,帕拉斯向道爾頓保證,正如他們所想的那樣:聯邦調查局對他們一無所知。

輪到道爾頓被突襲時,彼得森幾乎和他一起安排了這次突襲。在敲門前幾周,雅虎錯誤給道爾頓發了一封信,稱他的舊電子郵件位址是法律請求的主題。欲瞭解更多資訊,他應該聯繫聯邦調查局特工埃利奧特·彼得森。

因此,道爾頓先發制人地打電話給聯邦調查局特工,他現在已經跟蹤了他們近一年。約書亞和帕拉斯扮演著支持他們的朋友的角色,聽著。彼得森拿起電話,打了個招呼,並立即道歉。“我不打算讓我們在幾周內交談,”他解釋道。

當道爾頓聲稱不知道彼得森是誰或為什麼他的電子郵件被閱讀時,聯邦調查局特工大笑起來。“我們將有一個很好的機會聊天,”他用他通常和藹可親的語氣說。在通話結束時,他向道爾頓確認,儘管他現在已經上大學,但他仍然住在家裡,這意味著如果道爾頓搬進了宿舍,他不想搜查他父母的房子。“我們盡量做到微創。”

道爾頓掛斷了彼得森的電話。“這他媽的是什麼?”他對約書亞和帕拉斯說,他們還在群裡打電話。

“你的屁股,”帕拉斯回答道。

在接下來的三個星期,道爾頓被令人作嘔的焦慮和“即將到來的厄運”的感覺所困擾。他說,當聯邦調查局終於在黎明前到達時,他實際上鬆了一口氣。他們發現他穿著平角短褲,裹著粉紅色的毯子,在豆袋上看《星球大戰》。

道爾頓說,在搜查過程中,他的焦慮消失了,多虧了他早期的拍打經歷,這不是他第一次讓執法部門用槍指著他,他盡最大努力向聯邦調查局表明他沒有留下深刻的印象。在聯邦調查局搜查期間,他在沙發上打盹。當彼得森試圖採訪他時,他什麼也沒給他。

事實上,在他們到達之前,道爾頓有足夠的時間準備,他已經物理銷毀了他所有最敏感的硬碟。特工們發現他心愛的水冷電腦被撕裂了,紅色的冷卻液像血一樣灑在他臥室的地板上。他小心翼翼地緩存了另一個驅動器,該驅動器將所有從點擊欺詐計劃中獲得的比特幣存儲在一個貓糧容器中,完全被粗磨隱藏起來。由於集裝箱是透明的,搜查人員沒有想到要往裡面看。

就像帕拉斯和約西亞一樣,彼得森告訴道爾頓不要告訴任何人關於搜索的事情。但忠於最後的道爾頓試圖向帕拉斯發送一條密碼資訊,表明他也遭到了突襲:他反復用摩爾斯電碼打開和關閉他在Steam視頻遊戲網路上的帳戶狀態,拼寫為“FBI”。

帕拉斯看到道爾頓的帳戶在閃爍。但他從未得到過這個資訊。當然,即使他有,他也已經與聯邦調查局合作了幾個月,以收集他朋友的證據。

道爾頓很快前往安克拉治,在那裡他和他的父母參加了彼得森和亞歷山大的第三次也是最後一次 Mirai 反向演示。通過一個小時的聊天記錄和錄音,道爾頓沒有表現出任何情緒。但當這一切結束時,他知道反抗是沒有用的。他們擁有一切。

當道爾頓勉強同意合作時,彼得森沒有要求他對約西亞和帕拉斯保密他們的安排。這一次,他給另外兩個人打了電話。他們四個人都加入了電話會議。

經過幾個月的偏執,彼得森想澄清一下,告訴他們他們不再相互合作。他們現在都將一起工作。約西亞記得這幾乎就像是一次重逢:現在他們都在另一邊,他們又見面了。

在電話中,約書亞和帕拉斯似乎鬆了一口氣,經過幾個月的詭計,終於能夠誠實地與對方和道爾頓交談。道爾頓用一種失敗的語氣同意,是的,他在船上。他們將放棄所有的駭客工具並拆除點擊欺詐殭屍網路,而道爾頓將沒收裝滿比特幣的隱藏硬碟。但彼得森記得,道爾頓仍然保持安靜和正式,似乎仍在處理他被聯邦調查局逼入絕境並被朋友監視的憤怒和羞恥。

直到一天深夜,也就是道爾頓回到紐奧爾良的家幾天後,他才讓自己的處境的全部現實趕上了他。他正面臨重罪定罪。他將不得不擔任聯邦線人。他仍然有可能最終入獄。感覺很絕望。

奇怪的是,他選擇打電話來談這件事的人不是約書亞或帕拉斯,而是彼得森。他被困住了,他流著淚告訴聯邦調查局特工。他的生命結束了。

在接下來的一個小時,彼得森坐在安克拉治的客廳,發現自己又回到了“男院長”的角色,安慰和諮詢這位年輕的網路犯罪分子,他最近成為他調查的目標。

彼得森問道爾頓他對未來的希望——每個輔導員都會問的“五年後你認為自己在哪裡”的問題。道爾頓承認,在他舊的、秘密的信念下,網路犯罪可能是他唯一的人生道路,他仍然希望有一天他能夠在技術領域找到一份正常、成功的工作。彼得森告訴他,這仍然是可能的。

“他超級好,”道爾頓說。“比他需要的要好得多。”

彼得森說,他不能向道爾頓保證一切都會好起來的。仍有可能在監獄中度過數年。無論如何,彼得森向道爾頓保證,他仍然可以上大學。他仍然可以用的才能做一些有益的事情。他的生命還沒有結束。奧奧ˇ

這些年輕人的律師都警告他們,要想有希望避免入獄,他們需要與ㄣˊㄣˊ和檢察官合作。因此,一旦他們發現自己再次加入同一個團隊,約書亞、道爾頓和 帕拉斯投身於與執法部門合作,就像他們曾經為征服物聯網所投入的一樣。

這三個人仍然深深地紮根於網路犯罪社群,事實上,Mirai 已經將 Paras 創造的角色變成了名人。因此,他們開始幫助聯邦調查局瞄準他們的老同事。Mirai 的創造者 帕拉斯通過發佈殭屍網路的原始程式碼打開了潘朵拉魔盒,他發現自己最積極地臥底工作,以打倒 Mirai 的模仿者。

因為他仍然控制著 Anna-Senpai 板機,Paras 的任務是聯繫一個特別多產的 Mirai 仿冒品的創造者。山寨殭屍網路由居住在俄勒岡州波特蘭附近的駭客控制。他厚顏無恥地在他們的聊天中向安娜-前輩透露了他的位置,甚至邀請未來創造者在他曾經在城裡時出去玩。帕拉斯接受了他的提議。

那時,彼得森和亞歷山大一直在追蹤嫌疑人,並相信他們知道他的身份。但他似乎沒有固定的位址,他似乎患上了嚴重的毒品問題,並在與安娜-森派的聊天中承認使用冰毒,在城市裡挨家挨戶地漫遊,只帶著一個背包和他用來管理殭屍網路的筆記型電腦。

帕拉斯飛到波特蘭後,他向他們的刺痛目標建議他們在他的酒店見面。果不其然,駭客出現了,兩名殭屍網路管理員在帕拉斯的房間呆了幾個小時,交換故事和駭客技巧,甚至邀請其他駭客同事通過Skype加入對話。與此同時,彼得森和其他聯邦調查局特工在走廊對面的另一個房間用他們拒絕描述的竊聽技術記錄了這次會面。

最終,這位年輕的波特蘭駭客建議他們去附近的小凱撒吃飯。當他和帕拉斯走出房間時,他漫不經心地打開了筆記型電腦,甚至懶得關閉與駭客朋友的視頻聊天會話。當彼得森和另一名特工進入房間並奪取電腦作為證據時,這些朋友仍在通過筆記型電腦的網路攝像頭觀看。不到一個小時,特工們從酒店停車場的一輛黑色麵包車中走出來,在他和帕拉斯吃完午飯回來時逮捕了他們的目標。

在那次波特蘭刺痛之後,一些剛剛觀看了酒店突襲意外直播的駭客指責帕拉斯充當了聯邦調查局的告密者。但帕拉斯指出,見面並不是他的主意,甚至不是方便地出去吃披薩,他認為也許他實際上是被安排的人。

這個解釋足夠令人信服,以至於帕拉斯設法在全國範圍內對其他多名網路犯罪嫌疑人進行了後續臥底行動。他說他幾乎不喜歡自己在這些蜇傷中的角色。但他也沒有感到太多內疚。“我的意思是,老實說,這很令人振奮,”他說。“感覺就像電影裡的東西。”

聯邦調查局和司法部拒絕透露帕拉斯和另外兩名Mirai創作者幫助他們進行調查的所有細節。但彼得森總結說:「我們逮捕了一些人,我們處理了其他針對物聯網殭屍網路的案件,並在逮捕不可行的地方關閉了其他殭屍網路,“他說。我們只是做了非常有趣的工作。

幾個月後,當他們的臥底案件用完時,彼得森開始給團隊分配不同類型的任務,其中許多任務與Mirai或他們的老聯繫人沒有直接關係。他們很高興地發現自己不再充當線人,而是彼得森的新技術分析師團隊。

他們開始幫助聯邦調查局特工進行逆向工程惡意軟體和分析日誌以識別殭屍網路受害者等工作。他們構建了一個軟體工具,可以解析區塊鏈以追蹤網路犯罪的加密貨幣。2018 年初,當駭客開始利用名為 Memcached 的伺服器軟體來放大他們的 DDoS 攻擊時,Mirai 團隊想出了如何掃描啟用這些攻擊的易受攻擊的伺服器,以便 FBI 可以警告伺服器擁有者並説明從網際網路上移除一種新型 DDoS 彈藥。

約書亞說,在這個新角色中,他情不自禁地運用了他一直引以為豪的技術完美主義。“我喜歡在這種事情上做到最好,”他說。我想,’如果我們要解決這個問題,那就更好了。

帕拉斯說,起初,他沉浸在彼得森的任務中,即使是令人痛苦的臥底主要是根據他的律師的建議,以分散他揮之不去的內疚和羞恥感。為了防止自己感覺到東西,“正如帕拉斯所說。但隨著時間的流逝,他發現自己能夠更直視工作,甚至從他覺得自己現在正在做的好事中獲得一些滿足感。彼得森在阿拉斯加對他的評論,即他應該停止挖他所處的洞,這句話一直存在。正如彼得森所說,這份工作感覺就像是“挖掘的對立面”。我想在現在的我和當時的我之間盡可能地拉開距離,“他說。

帕拉斯說,最終,當Mirai的工作人員談論他們與Peterson合作的動機時,它超越了自私的生存,而是對他們造成的傷害的實際贖罪感。“這就像,好吧,我們的救贖之路是什麼?”他說。“也許這就是開始。”

當然,聯邦調查局在利用線人和合作被告方面有著悠久而令人討厭的記錄,其中許多人被置於危險境地,被誘捕無辜的同夥,或者最終感到被他們的處理者拋棄或利用。這三名Mirai駭客認為他們是個例外。

他們說,幾個月過去了,他們開始將彼得森視為一種導師。他似乎對他們的未來表現出真正的關心。他們覺得,他在獵殺他們時表現出的奇怪的友好態度,不是咄咄逼人的幌子,而是他人性的真實表達。“我們很幸運能得到埃利奧特,”道爾頓說。“他真的救了我的命。”

美國刑事司法系統對駭客的嚴厲判決是出了名的。2010年,阿爾伯特·岡薩雷斯 (Albert Gonzalez) 因在 20 多歲時從零售商網路竊取數千萬個轉帳卡和信用卡號碼而被判處 20 年監禁。2017年,俄羅斯網路犯罪分子羅曼·謝列茲涅夫(Roman Seleznev)在瑪律地夫機場度假時被捕,因大規模盜竊信用卡數據而被判處27年徒刑。就連猖獗的駭客組織LulzSec的主唱赫克托·蒙塞古爾(Hector Monsegur)也被判入獄七個月,比他舉報的英國其他一些LulzSec成員還要長。

因此,當歷史上幾起最大的網路攻擊背後的殭屍網路Mirai案的檢察官要求法官判處其建立者總共零天監禁時,這幾乎是一個激進的行為。

阿拉斯加助理美國檢察官亞當·亞歷山大(Adam Alexander)用PowerPoint演示文稿翻轉了三名駭客中的每一個,其中充滿了對他們不利的證據,他解釋說,他的決定部分是基於這樣一個事實,即他們都沒有犯罪記錄或藥物濫用問題,這可能導致他們重新回到舊習慣。與許多被告不同,他們有強大的家庭支持網路,要求他們承擔責任。最重要的是,到2018年秋天宣判時,他們已經為彼得森做了一千多個小時的工作,亞歷山大在給法官的一封信中將其描述為“廣泛而特殊”的合作。“他們有點興高采烈地願意打破網際網路,”亞歷山大說。“但是,把這三個年輕人中的任何一個關進監獄18到36個月,然後擦掉他們的手,會更有意義地確保我們可以防止未來的犯罪行為嗎?我當時其實不這麼認為,今天我仍然不這麼認為。

相反,他要求法院判處約西亞、道爾頓和帕拉斯在接下來的五年內各有2,500小時的社區服務。他們將與監督他們現役合作期的同一位聯邦調查局特工埃利奧特·彼得森(Elliott Peterson)一起開展這項工作。

在Mirai刪除Brian Krebs網站大約兩年後,在安克拉治的法庭上,一名法官向這三名21歲和22歲的年輕人宣判了這一判決,社區服務,沒有監禁時間,以及每人115,000美元至127,000美元的債務。“你還年輕,你有很多東西可以給社會……而且你有很多天賦和技能,“一名法官在那天秋天在安克拉治法庭上告訴這三名男子。“我希望你好好使用它。”(帕拉斯將因襲擊羅格斯大學而在新澤西州面臨單獨的指控,檢察官強烈認為他應該入獄。亞歷山大進行了干預,反駁說,帕拉斯與阿拉斯加的檢察官和聯邦調查局的合作也應該被納入他對該案的判決中。新澤西州法官最終同意了,判處帕拉斯近900萬美元的賠償金和六個月的監禁,但沒有入獄。

在這次阿拉斯加之行中,當彼得森再次建議在當地開展活動時,Mirai的工作人員實際上接受了他。那天晚上,他們一起在當地的一家獨立劇院餐廳 Bear Tooth Grill 吃飯,在那裡他們還觀看了一部關於谷歌圍棋 AI 的紀錄片放映,只是一些臭名昭著的駭客和追捕他們的 FBI 特工,出去吃飯和看電影。

 彼得森說,在他們五年的社區服務期後不久,他開始感覺到他的三個不太可像似門徒的開始長大了,他找不到足夠多的技術任務來配得上他們的才能。因此,他問他與艾莉森·尼克森(Allison Nixon)一起幫助創建的Big Pipes反DDoS小組,那裡是否有人可以做工作。尼克森舉起了手。

當彼得森第一次開始監督「孩子們」時——他們在大管道中被稱為「孩子們」——尼克森不想與他們有任何關係。她潛伏在駭客論壇污水池中的時間足夠長,熟悉了那裡自由流動的毒性,甚至還受到Mirai團隊的一些老同事的親自騷擾。“他們不是好人,”她談到那一幕時說。“你不想讓他們知道你的名字。”

但在看到彼得森已經與帕拉斯、約書亞和道爾頓合作了一年多並且仍然願意為約書亞懷特(Josiah “LiteSpeed” White),她幾乎在他的整個職業生涯中都在跟蹤他——彬彬有禮,渴望取悅他。

事實上,她確實需要他們的程式設計説明:她有一個想法,那就是一種新的蜜罐,它比她的“悲傷的DVR”用途廣泛得多。她想創建一個系統,讓安全研究人員或分析師可以在虛擬環境中載入任何物聯網設備的韌體,以捕獲新的惡意軟體變種。

他們一起構建的工具稱為守望塔。它使用了一種稱為 QEMU 容器化的新技術來啟動隔離的、成熟的虛擬 DVR,等待被感染。Mirai團隊設計了他們的物聯網惡意軟體,以檢測它何時載入到小工具的虛擬軟體上,而不是真實的東西,並殺死其進程,而不是向研究人員提供任何資訊。但《守望塔》的蜜罐被設計成在惡意軟體可以檢查的所有方面都看起來像一個真實的設備,一個無縫的虛擬全景圖,可以在其中觀察惡意軟體並攔截其主人的命令。

“這做得非常出色,”Akamai 的安全研究員 Larry Cashdollar 說,他表示,該公司使用 Watchtower 獲取和分析了無數新的物聯網惡意軟體樣本。最終,Nixon 和她的 Mirai 團隊添加了來自其他研究人員和她的 Big Pipes DDoS 工作組成員提供的數據,包括充當反射攻擊蜜罐的機器和用於識別目標域的 DNS 數據,並將其全部集成到即時 DDoS 分析儀錶板中。到 2020 年,他們添加了一個功能變數名稱關鍵字清單,以識別對政治或投票系統目標的攻擊,該工具的結果用於監控當年選舉期間的 DDoS 攻擊——幫助他們為安全界許多人仍然擔心的任何破壞民主的“大事件”做好準備。

至於布萊恩·克雷布斯(Brian Krebs),當他發現這三位Mirai的創造者已經逃脫了牢獄之災,現在基本上是白帽安全研究人員時,他最初對他認為缺乏問責制感到不安。

“相信這個過程,”他記得尼克森告訴他。

“什麼過程?”克雷布斯說他回應了。“這在我看來不像是正義。”

但隨著時間的流逝,他繼續向尼克森和其他人學習帕拉斯、約書亞和道爾頓所做的好工作,他說他慢慢改變了主意。“當我能夠聽到他們想出的一些東西時,我感到很鼓舞,”他說。我想這是所有可能的結果中最好的。

當尼克森從閃點搬到一家新的安全公司Unit 221B工作時,她遊說該公司僱用她的守望台團隊。那時,帕拉斯已經找到了一份為一家半導體公司編寫代碼的工作。但約書亞和道爾頓都開始全職為尼克森工作,除了他們的社區服務工作之外,還擔任合約制安全研究員。

當然,即使Mirai團隊加入了合法的安全行業,他們現在使用Watchtower監控的許多新殭屍網路實際上是他們自己可怕創造的變體。就像之前的 Qbot 代碼一樣,Mirai 已經成為任何試圖構建自己的大量駭客機器集合的人最好、最乾淨的代碼庫,各種數位不法分子開始將其拆散,重新利用其元件來造成嚴重破壞。“現在到處都是Mirai的碎片,”Akamai的安全研究員、Big Pipes工作組的早期成員Chad Seaman說。

Seaman說,公司仍然面臨著來自Mirai後代的近乎持續不斷的攻擊。因為這些殭屍網路通常仍在爭奪同樣龐大但分散的易受攻擊的物聯網設備集合,所以它們都沒有原來的Mirai那麼大。Mirai的後代也再也沒有像Mirai那樣讓防守者感到驚訝。

但他們的攻擊仍然困擾著網際網路,增加了公司每年為DDoS保護支付的數百萬美元。“縱火犯翻開了新的一頁,”Akamai 的 Seaman 總結道。“野火繼續肆虐。”

結語

 在他坐在康乃狄格州的家中,看著他的數位生活崩潰後的幾年裡,斯考特·夏皮羅(Scott Shapiro)成為了一種Mirai狂熱分子。這位耶魯大學法學教授最終閱讀了帕拉斯在駭客論壇上發佈的原始程式碼,將其列印出來,仔細研究其機制,並驚歎於其精心打磨的設計。多年後,他在《Fancy Bear Goes Phishing》一書中寫了一篇關於Mirai的案例研究,該書通過一系列非凡的駭客事件講述了網際網路的歷史。

除其他外,夏皮羅現在將Mirai案視為網路刑法中實際恢復性司法的罕見模式。他認為,這顯示了將年輕駭客關進監獄的積極選擇,因為在許多情況下,他們的在線行為與現實世界中的自我形成了鮮明的對比。是的,網際網路可以引誘好人做壞事。但也許它所創造的分裂人格,也為線下世界留下了更多的救贖空間。也許這甚至意味著更多像Mirai這樣的網路犯罪分子可以被改造並著手解決他們造成的問題。“這是一個實驗。效果非常好,“夏皮羅說。“我希望看到更多。”

2021 年 12 月初的一個下午,在 Mirai 創作者五年試用期三年後,夏皮羅邀請了約書亞,道爾頓,帕拉斯和 Elliott Peterson 通過 Zoom 在耶魯大學網路安全法課上發表演講。這將是他們四人第一次在法庭以外的半公開場合一起出庭。

起初,彼得森做了大部分的談話,在45分鐘的演講中講述了案件的故事和他的調查。然後他結束了,小組回答了學生的問題。

有人問,這群沒有犯罪記錄的年輕人如何為自己進行如此史詩般的數位破壞行為辯護。帕拉斯回答了所有這些問題,並解釋了這一切的感覺是多麼的漸進,從徵用數百台被駭客入侵的電腦到數千到數十萬台電腦是多麼容易,沒有人告訴他們在哪裡劃清界限。“從來沒有飛躍過,”他說。“一步接著一步。”

另一名學生問他們為什麼堅持了這麼久,他們怎麼相信即使在被突襲後也能逃避聯邦調查局。這一次是道爾頓回答了,克服了他在人群面前講話的焦慮,部分原因是更好的治療方法有助於緩解他的口吃。他向全班同學解釋說,他們從未遇到過他們無法克服的駭客生涯障礙,就像沒有衰老或死亡經驗的青少年一樣,因此相信自己會永遠活著,他們開始覺得自己幾乎是不可戰勝的。

夏皮羅說,在整個演講中,他被三位Mirai創作者的年輕緊張所震撼,即使他們說話,他們也從未打開過網路攝像頭。他曾經確定的駭客威脅一定是俄羅斯人,他們感覺如此龐大和強大,只是這些“小男孩”,他意識到。“不想露臉的小男孩。”

帕拉斯後來向我解釋說,他並不是想躲起來。他只是不想再把自己的臉和Mirai聯繫在一起了。從那以後,他減掉了30多磅,扔掉了眼鏡,留起了修剪整齊的鬍鬚;他寧願讓他的舊形象,布萊恩·克雷布斯(Brian Krebs)關於安娜-森派(Anna-Senpai)的故事中那個戴著眼鏡的矮胖孩子,成為與未來聯繫在一起的人。

截至 10 月底,Mirai 駭客的三名試用期都已結束。帕拉斯·賈(Paras Jha)和約書亞·懷特(Josiah White)在一家高頻金融交易公司工作。道爾頓·諾曼(Dalton Norman)仍然在221B部隊為艾莉森·尼克森(Allison Nixon)工作。但他們都計劃繼續維護和更新《守望台》,這也許是他們對消除他們造成的一些損害的最持久的貢獻。

“我很感激有機會嘗試將精靈放回瓶子裡,”約書亞說。

他也承認這可能是不可能的。即使是現在,他、道爾頓和帕拉斯都知道,他們建造的怪物的碎片仍然困擾著網際網路。Mirai不再來自未來。相反,它頑固地堅持過去。有一天,他們希望把它留在那裡。

※版權所有,歡迎媒體聯絡我們轉載;登錄本網按讚、留言、分享,皆可獲得 OCTOVERSE 點數(8-Coin),累積後可兌換獎品,相關辦法以官網公布為準※

新增留言