大一学生不能选到热门的高级选修课,为此沮丧是可以理解的,但再沮丧通常也只是抱怨。帕拉斯•贾(Paras Jha)却是个例外。在新泽西州立大学罗格斯分校,高年级学生可以优先注册计算机科学选修课,帕拉斯对此感到愤怒,于是决定让选课网站崩溃,让所有人都无法注册。• 2014年11月19日,星期三晚东部时间10点,一年级学生春季课程的注册期刚刚开始,帕拉斯发起了他的第一次分布式拒绝服务(DDoS)攻击。他集合了大约4万个僵尸主机,让它们袭击罗格斯分校的中央认证服务器。僵尸网络发送了数千条欺骗性的身份验证请求,使服务器过载。帕拉斯的同学无法进行注册。帕拉斯在下一学期又进行了一次攻击。2015年3月4日,他给校报The Daily Targum发了一封电子邮件,写道:“不久前,你的一篇文章谈到了罗格斯分校遭遇的DDoS攻击。是我攻击了网络……我将在东部时间晚上8点15分再次攻击此网络。”帕拉斯兑现了他的威胁,晚上8点15分,准时让罗格斯分校的网络掉线。
3月27日,帕拉斯对罗格斯分校01A161又发动了一次攻击。这次攻击持续了4天,令校园生活陷入停滞。5万名学生和教职员工的电脑无法访问校园网络。
4月29日,帕拉斯在Pastebin(黑客经常发送匿名信息的网站)发布了一条消息。“罗格斯分校的IT系就是个笑话。”他嘲讽道,“这是我第三次对罗格斯分校进行DDoS攻击,每一次,罗格斯分校的基础设施都像我靴子下的罐头盒,不堪一击。”
罗格斯分校选择马萨诸塞州一家小型网络安全公司Incapsula作为缓解DDoS的服务提供商,帕拉斯对此感到愤怒。他声称罗格斯分校选择了最便宜的公司。“为了让你们看看Incapsula的网络质量有多差,我已经采取行动,摧毁了罗格斯分校的网络(以及Incapsula的部分网络),希望你们能选择另一家知道自己在做什么的供应商。”
帕拉斯对罗格斯分校网络的第四次袭击发生在期末考试期间,在校园内造成了混乱和恐慌。帕拉斯陶醉于让一所主要州立大学陷入瘫痪的能力,但他的最终目标是迫使学校放弃Incapsula。帕拉斯创办了缓解DDoS的业务公司ProTraf Solutions,希望罗格斯分校选择ProTraf替代Incapsula。在学校改变主意前,他不会停止对自己学校的攻击。
帕拉斯•贾出生于新泽西州中部绿树成荫的郊区范伍德,并在那里长大。三年级时,帕拉斯的一位老师建议对他的注意力缺陷多动障碍进行评估,但他的父母并没照做。等到上完小学,帕拉斯的病情加重了。他显然是很聪明的,于是老师和父母将他的平庸归因于懒惰和冷漠。迷茫的家长对他要求更加严厉。帕拉斯在电脑上寻求喘息和庇护。12岁时,他自学了编程并为此着迷。他的父母放任他的沉迷,给他买了台电脑,让他不受限制地上网。父母的放纵让帕拉斯进一步孤立自己,他把所有的时间都花在了编程、打游戏和在网上和朋友瞎混上。帕拉斯特别喜欢网络游戏《我的世界》。九年级时,他不再玩《我的世界》,兴趣转向托管服务器。在托管游戏服务器上,他第一次遇到了DDoS攻击。《我的世界》的服务器管理员经常利用DDoS服务让竞争对手掉线。随着帕拉斯进一步了解更加复杂的DDoS攻击,他也研究DDoS防御。当自己精通如何减轻对《我的世界》服务器的攻击时,他决定创建ProTraf Solutions公司。帕拉斯对《我的世界》的攻击和防御日益痴迷,再加上未得到治疗的多动症,导致他愈发远离家庭和学校。高中时,糟糕的学习成绩使他倍感沮丧,唯一的安慰是日本动漫以及在《我的世界》DDoS专家在线社区中所获得的赞誉。进入罗格斯分校攻读计算机科学学士学位时,帕拉斯的病情进一步恶化。没有母亲的帮助,他无法自己管理正常的生活需求,无法控制自己的睡眠、日程和学习。帕拉斯也非常孤独。于是,他全身心地投入到黑客活动中。帕拉斯和黑客朋友约西亚•怀特(Josiah White)和道尔顿•诺曼(Dalton Norman)决定攻击DDoS之王——一个被称为VDoS的团伙。该团伙在全世界提供DDoS服务已有4年,这是一场时间漫长的网络犯罪。与经验丰富的网络罪犯宣战的决定似乎很勇敢,但三人实际上比自己的对手年纪更大。2012年,VDoS团伙成员在以色列开始提供DDoS服务时,年龄只有14岁。这些19岁的美国青少年将与两名18岁的以色列青少年对战。这两个青少年帮派之间的争斗不仅将改变恶意软件的性质,他们在网络空间的称霸之争也将创造出世界末日机器。僵尸网络恶意软件可用于经济型犯罪,僵尸主人可以指使受控机器人在易受攻击的机器上植入恶意软件,发送网络钓鱼电子邮件,或进行虚假点击,僵尸网络通过引导机器人点击付费广告获利。僵尸网络也是很好的DDoS武器,因为它们可以针对目标进行训练,从各个方向展开攻击。例如,2000年2月某日,黑客MafiaBoy攻击了Fifa.com、亚马逊、戴尔、E-Trade、eBay、美国有线电视新闻网(CNN),以及当时最大的互联网搜索引擎雅虎。
如此之多的主要网站被黑后,MafiaBoy被视为国家安全威胁。时任美国总统克林顿下令在全国范围内对其进行搜捕。2000年4月,MafiaBoy被捕并受到指控,2001年1月,他承认了58项拒绝服务攻击指控。执法部门未透露MafiaBoy的真实姓名,因为这个威胁国家安全的家伙当时只有15岁。MafiaBoy和VDoS的成员都是捣毁服务器的青少年。但是,MafiaBoy是为了斗气,VDoS却是为了钱。事实上,这些十几岁的以色列少年是科技创业的先行者。他们协助发起了一种新的网络犯罪形式:DDoS服务。用它,任何人点击一个按钮就可发起黑客攻击,不需要任何技术知识。
DDoS提供商可以在网络上公开做广告,这可能令人感到很惊讶。毕竟,无论在哪里,对网站进行DDoS攻击都是违法的。为解决这一问题,这些“引导服务”长期以来一直争辩自己执行的是合法功能:为设置网页的人提供对网站进行压力测试的方法。理论上讲,此类服务确实发挥着重要的作用。但这只是理论上的作用。正如一家“引导服务”提供商向剑桥大学研究人员承认的那样:“我们确实试图向更合法的用户群推销这些服务,但我们知道什么更赚钱。”帕拉斯在大学二年级时从罗格斯分校退学,在父亲的鼓励下,他在接下来的一年里专注建立自己的ProTraf Solutions公司,从事DDoS防御业务。就像黑手党老大收保护费那样,他提供必要的保护。在大一发动了4次DDoS攻击后,2015年9月,他再次攻击了罗格斯分校,仍然希望母校能放弃Incapsula。罗格斯分校拒绝让步。ProTraf Solutions公司业务下滑,帕拉斯需要现金。2016年5月,帕拉斯联系了约西亚•怀特。和帕拉斯一样,约西亚也经常光顾黑客论坛。15岁时,他开发了Qbot的主要代码。Qbot是一种僵尸网络蠕虫,在2014年达到鼎盛,曾控制了50万台计算机。现在,18岁的约西亚改变了立场,他和朋友帕拉斯一起,在ProTraf做DDoS防御。但约西亚很快又回到了黑客领域,并开始与帕拉斯合作,对软件Qbot恶意软件加以改进,建立更大、更强的DDoS僵尸网络。随后,帕拉斯和约西亚又与19岁的道尔顿•诺曼(Dalton Norman)搭档,三人团队分工明确:道尔顿发现漏洞;约西亚更新僵尸网络恶意软件来利用这些漏洞;帕拉斯为命令控制服务器编写C2软件,控制僵尸网络。但这三人也面临着竞争。另外两个DDoS团伙Lizard Squad和VDoS决定联合起来,建立庞大的僵尸网络。这个名为PoodleCorp的组织取得了成功。PoodleCorp的僵尸网络攻击目标的流量达到了400千兆/秒,几乎是之前僵尸网络速度的4倍。该组织使用这一新武器攻击了巴西的银行、美国政府网站和《我的世界》服务器。他们通过劫持1300个联网摄像头获取强大的火力。网络摄像头一般都拥有强大的处理器和良好的连接性,且很少打补丁。因此,僵尸网络劫持视频设备,就有了“巨型大炮”可供使用。在PoodleCorp公司的上升期,帕拉斯、约西亚和道尔顿开发了一种新武器。到2016年8月初,三人完成了僵尸网络恶意软件的第一个版本。帕拉斯将新代码命名为Mirai,取自系列动画《未来日记》(Mirai Nikki)。Mirai放出后,便如野火一般蔓延。在最初的20小时内,它感染了6.5万台设备,被感染设备数量每76分钟扩大一倍。在当时肆虐的僵尸网络战争中,Mirai并不知道自己还有其他“盟友”。在阿拉斯加州的安克雷奇,联邦调查局(FBI)的网络部门正在调查一个针对VDoS的案件。联邦调查局不知道Mirai,也不知道它与VDoS的争斗。联邦调查局特工们没有定期浏览黑客论坛等在线论坛,不知道他们的调查目标正在被摧毁。联邦调查局也并未意识到Mirai已经准备隐藏起来。安克雷奇的首席调查员是特工埃利奥特•彼得森(Elliott Peterson)。彼得森是一名前美国海军陆战队员,他冷静而自信,留着一头红发,剃着寸头。33岁的时候,彼得森回到了家乡阿拉斯加,调查起诉网络犯罪。2016年9月8日,联邦调查局在安克雷奇和纽黑文的网络部门合作,在康涅狄格州对PoodleCorp的一名成员执行搜查令,该成员控制该组织所有僵尸网络的C2。同一天,以色列警方在以色列逮捕了VDoS的创始人。突然之间,PoodleCorp公司不见了。Mirai小组等了几天来评估战场。据他们所知,自己是唯一幸存的僵尸网络。他们已准备好使用新力量。Mirai赢得了这场战争,因为以色列和美国的执法部门逮捕了PoodleCorp背后的主谋。但无论如何,Mirai都会取得胜利,因为它在控制物联网设备和驱除竞争恶意软件方面效率极高。逮捕VDoS幕后主使几周后,特工彼得森发现了他的下一个目标:Mirai僵尸网络。在Mirai案中,我们不知道彼得森团队在调查中采取的具体步骤:法院命令目前是“保密的”,这意味着法院认为它们是秘密的。但从公开报道中,我们获悉彼得森的团队以常见的方式取得了突破,获得了来自Mirai的受害者网络安全记者布莱恩•克雷布斯(Brian Krebs)的帮助,他的博客于9月25日遭到Mirai僵尸网络的DDoS攻击。
联邦调查局发现了C2和加载服务器的IP地址,但不知道是谁开的账户。彼得森的团队可能会传唤托管公司,了解账户持有人的姓名、电子邮件、手机和支付方式。有了这些信息,团队将寻求法院命令,然后获得搜查令,获取同谋者的谈话内容。尽管如此,寻找Mirai恶意软件的作者仍然是一项艰巨的任务。由于这些黑客很聪明,例如,为逃避侦查,约西亚不仅使用VPN,还入侵了一名法国少年的家用电脑,并将其作为“出口节点”。因此,僵尸网络的命令来自这台电脑。这台电脑的主人是日本动漫的忠实粉丝,符合黑客的特征。联邦调查局和法国警方在搜查了男孩的家后才发现他们找错了人。在使用Mirai行动两个月后,帕拉斯在黑客论坛上几乎完整地发布了Mirai的源代码。帕拉斯写道:“我赚了钱,现在有很多人在看着物联网,所以是时候滚蛋了。”有帕拉斯的这一源代码,任何人都可以构建自己的Mirai。他们也确实这么做了。公开代码是鲁莽的,但并不罕见。如果警方在黑客的设备上找到源代码,黑客就可以声称自己“从互联网下载了源代码”。帕拉斯不负责任地披露代码是一个假动作,目的在于迷惑联邦调查局。联邦调查局一直在收集帕拉斯参与Mirai的证据,并联系他质询问题。虽然帕拉斯给了特工编造了一个虚构的故事,但收到联邦调查局的短信,他很可能被吓坏了。
Mirai已经引起了网络安全社区和执法部门的注意。但直到Mirai的源代码发布后,它才引起了全美国的注意。公开源代码后的第一次攻击发生在10月21日,攻击对象是位于新罕布什尔州曼彻斯特的Dyn公司,该公司为美国东海岸大部分地区提供域名系统(DNS)解析服务。美国东部时间早上7点07分,一连串25秒的攻击开始,这是在测试僵尸网络和Dyn公司的基础设施。之后是持续的攻击:一个小时,然后是五个小时。但是,Dyn公司并不是唯一的目标。索尼的PlayStation视频基础设施也受到了冲击。由于攻击流量巨大,许多其他网站也都受到了影响。cnn.com、facebook.com和nytimes.com等域名也无法使用。对于绝大多数用户来说,互联网变得无法使用。晚上7点,Dyn和PlayStation又迎来了10个小时的轰炸。进一步的调查证实了被攻击的地点。除了攻击Dyn和PlayStation以外,僵尸网络还瞄准了Xbox Live和Nuclear Fallout游戏托管服务器。不过黑客的目标并非即将到来的美国大选。有人想把玩家从游戏服务器上踢出去。就像MafiaBoy、VDoS、帕拉斯、道尔顿和约西亚一样,攻击者是一名十几岁的男孩,这次是一名15岁的北爱尔兰男孩,名叫亚伦•斯特里特(Aaron Sterritt)。同时, Mirai三人组离开了DDoS领域。但正如帕拉斯所言,帕拉斯和道尔顿并未放弃网络犯罪。他们开始着手欺骗点击。欺骗点击比运行引导服务更有利可图。虽然Mirai不再像以前那么庞大,但僵尸网络仍然可以产生可观的广告收入。帕拉斯和道尔顿在一个月内从欺骗点击中赚到的钱与他们用DDoS赚到的钱一样多。到了2017年1月,他们的收入已超过18万美元,而从DDoS攻击获得的收入仅为1.4万美元。如果帕拉斯和他的朋友关闭自己的引导服务,转而从事欺骗点击,世界很可能会忘记他们。但是通过公开Mirai代码,帕拉斯带出了模仿者。Dyn公司是模仿者第一个主要的攻击目标,但随后效仿者众。由于这些模仿者造成了巨大的破坏,执法部门还在重点关注Mirai的作者。在收集了帕拉斯、约西亚和道尔顿与Mirai有关的信息后,联邦调查局秘密将他们带到阿拉斯加。彼得森的团队向嫌疑人展示了证据,并给了他们合作的机会。鉴于证据无可辩驳,每条都被认可了。帕拉斯•贾被两次起诉,一次是因在新泽西州袭击罗格斯分校,另一次是在阿拉斯加因Mirai被起诉。两份起诉书都提出了同样的指控:违反了美国《计算机欺诈和滥用法》。帕拉斯面临最高10年的联邦监狱监禁。约西亚和道尔顿只在阿拉斯加被起诉,面临5年监禁。三人都认了罪。2018年9月18日,在安克雷奇举行的量刑听证会上,每名被告均对自己的行为表示忏悔。约西亚•怀特的律师转达说,被代理人认识到Mirai是“一个巨大的判断失误”。与约西亚不同,帕拉斯在法庭上直接与蒂莫西•伯吉斯(Timothy Burgess)法官交谈。帕拉斯首先承认对自己的行为负有全部责任,并对自己给家人带来的麻烦深表歉意。他还为自己给企业,特别是罗格斯分校、教职员工和他的同学造成的伤害道歉。司法部作出了不寻常的决定,不要求监禁。在量刑备忘录中,政府指出“(被告)在网络内外的个人角色是分裂的,在网络角色中,他们是DDoS犯罪环境中重要、知名的恶意行为者,而在比较平淡的‘现实生活’中,他们表现为社交不成熟的年轻人,与父母生活在一起,相对默默无闻。”政府建议进行5年缓刑和2500小时的社区服务。政府还有一个要求,要求社区服务“包括继续与联邦调查局在网络犯罪和网络安全问题上的合作”。甚至在宣判之前,帕拉斯、约西亚和道尔顿就已经花了近千个小时帮助联邦调查局追捕和关闭Mirai的模仿程序。他们为十几项执法和研究工作作出了贡献。在一个案例中,三人协助阻止了一个黑客组织。他们还帮助联邦调查局阻止了旨在扰乱圣诞假日购物的DDoS攻击。伯吉斯法官接受了政府的建议,三人免除了牢狱之苦。听证会上最令人难忘的时刻是帕拉斯和道尔顿把抓住他们的人单独挑出来表扬。帕拉斯在法庭上说:“两年前,当我第一次见到埃利奥特•彼得森特工时,我傲慢愚昧地认为自己是不会被抓住的。当我第二次见到他时,他对我说了一些我永远不会忘记的话:‘你现在有麻烦了。你该回头了。’”帕拉斯最后感谢了“我的家人、朋友和彼得森探员,感谢他们帮助我经受住了这一切”。IEEE Spectrum
《科技纵览》
官方微信公众平台
