選自Wired
作者:Andy Greenberg
機器之心編譯
參與:Panda
22 歲那年,馬庫斯·哈欽斯(Marcus Hutchins)憑一己之力阻止了有史以來最嚴重的網絡攻擊 WannaCry。不久後他因爲開發惡意軟件 Kronos 被 FBI 逮捕。本文將講述他不爲人知的故事。
2017 年 8 月的一個星期三早上 7 點左右,此時馬庫斯·哈欽斯已經在 Airbnb 上租的一套拉斯維加斯豪宅內狂歡了一週半時間。當他走出這套豪宅的前門取自己的外賣訂單時,這個身高 6 英尺 4 英寸(約 1.93 米)的 23 歲棕色捲髮爆炸頭黑客看見街上停着一輛黑色 SUV——看起來很像是一輛 FBI 的監控車。
他看着這輛車,大腦昏昏沉沉,不禁懷疑:終於來抓自己了嗎?
但他只是稍微想了一想,並未過多考慮。他告訴自己:FBI 辦事永遠不可能如此明顯。由於赤腳站在前門車道上,他感到腳快被燙傷了。於是他拿起外賣,回到了豪宅中他用作臥室的泳池房。吃過外賣後,他收拾好行李準備前往機場——他已經訂了一張返回英國的頭等艙機票。
哈欽斯之前剛在 Defcon 大會度過了引人注目又疲憊的一週。在這個全球最大規模的黑客會議上,他被尊爲英雄。不到三個月前,哈欽斯從有史以來最嚴重的網絡攻擊事件「WannaCry 勒索病毒全球大爆發」中拯救了互聯網。WannaCry 是一種可以自行傳播的軟件,就像病毒一樣通過互聯網擴散到了整個地球,摧毀了數十萬臺計算機中的數據。正是哈欽斯找到並激活了其代碼中隱藏的死亡開關,進而遏制了 WannaCry 的進一步全球蔓延。
這段白帽黑客傳奇故事爲哈欽斯贏得了在 Defcon 參會者聚會上免費暢飲的資格。他和他的隨行人員被邀請參加每一場 VIP 黑客聚會、被記者請去吃晚餐、被粉絲簇擁着自拍合影。畢竟,這個故事讓人無法抗拒:內向的極客哈欽斯獨自一人屠滅了威脅整個數字世界的怪獸,而這一切都發生在英格蘭西部偏遠地區他父母家一間臥室內的一副鍵盤前。
哈欽斯仍在爲呼嘯而至的讚譽而頭暈目眩,沒有多餘的精力擔憂 FBI,即便幾小時後他走出這套豪宅時再次看見了那輛黑色 SUV。大腦昏昏沉沉,他叫了輛 Uber 去機場。後來,法院的文件表明這輛 SUV 一路尾隨着他——事實上,他在拉斯維加斯這段時間裏,執法部門一直在定期追蹤他的位置。
當哈欽斯抵達機場,到達安檢處時,TSA(美國聯邦運輸安全管理局)卻告訴他不必把他的三臺筆記本電腦從包裏拿出來進行掃描。相反,他們揮手直接讓他過去了,讓他還以爲自己受到了特別優待。
他悠閒地漫步到機場休息室,拿了瓶可樂,坐到了椅子上。離他前往英國的航班起飛還有幾個小時,所以他開始發 Twitter 打發時間,他說自己正興奮地等待回到自己分析惡意軟件的工作。他發推說:「現在已經一個多月沒碰過調試器了」。
哈欽斯在寫另一條推文時注意到有三個人向他走來,其中兩個穿着美國海關和邊境保護局的制服。「你是馬庫斯·哈欽斯嗎?」爲首的紅髮男人問。哈欽斯說是,然後那個男人用不帶感情的口吻叫他跟他們走一趟。哈欽斯被帶進了一扇門,進入了一個私用樓梯間。
然後他被戴上了手銬。
震驚之下,哈欽斯問他們自己犯了什麼事。「我們後面再說。」那個男人說。
哈欽斯在頭腦裏迅速回想自己做過的可能會引起海關注意的違法行爲。當然,他想到也可能是「那件事」——那場幾年前不能提及的犯罪。
特工們帶他走過一個裝滿監視器的安全區域,然後讓他在一間問詢室坐下來,並將他獨自一人留在那裏。當那個紅髮男人回來時,他身邊有一位小個子金髮女人。這兩位特工展示了自己的徽章。他們來自 FBI。
接下來的幾分鐘裏,這兩位特工用友好的語氣向哈欽斯詢問了他的教育以及他工作的安全公司 Kryptos Logic 的情況。在這段時間裏,哈欽斯以爲他們只是想了解自己在 WannaCry 上的工作,只不過方式有點過激。但在問詢到達 11 分鐘時,他們問到了一個名爲「Kronos」的程序。
「Kronos,」哈欽斯說,「我知道這個名字。」然後他有點麻木地意識到,他可能回不了家了。
英國鄉村的計算機男孩
14 年前,馬庫斯·哈欽斯的父母 Janet 和 Desmond 搬到了德文郡偏遠地區的一個養牛場,住進了一套石質房屋,這裏離英格蘭西海岸僅有幾分鐘路程。Janet 是一位出生於蘇格蘭的護士。Desmond 則是一位來自牙買加的社會工作者,他在 1986 年首次遇到 Janet 時是一名消防員。他們一家之前住在離倫敦 30 英里的通勤城市布拉克內爾,搬走的原因是希望 9 歲的馬庫斯和他 7 歲的弟弟能在比倫敦城市圈更單純的地方長大。
一開始這處農場確實能提供他們所尋求的「田園牧歌」。哈欽斯是一個聰明開朗的孩子,樂於交朋友,但很堅韌克己,就像他父親 Desmond 說的那樣:「自成體系,有非常強的是非感」。他父親說,他有一次在玩耍時摔斷了手腕,但他沒有掉一滴淚。但是當租房子給他們的農場主殺死哈欽斯很喜歡的一頭大腦受損的羸弱小牛時,他卻哭了。
哈欽斯並不總是能融入到德文郡的其他農村孩子中。他個子更高,而且並不像其他英國人那樣癡迷足球,而是更喜歡在離家幾英里的冰冷海水中衝浪。他是所在學校少數幾個混血兒之一,而且他拒絕修剪自己標誌性的蓬鬆捲髮。
但他最大的不同是對計算機超乎尋常的癡迷和天分。哈欽斯在 6 歲時便開始看着母親在家裏的戴爾臺式機上使用 Windows 95 了。他的父親常常因爲他拆卸這臺家用電腦以及安裝奇怪的程序而生氣。在他們搬到德文郡時,哈欽斯開始好奇地鑽研他訪問過的網站背後的 HTML 符號,並使用 Basic 編寫了基本的 Hello world 腳本。很快,他開始將編程視爲「用於構建你所想要的一切的門戶」。他說:「這裏沒有任何限制。」
在計算機課上,當他的同學們在學習使用 Word 時,哈欽斯深感無趣。學校的計算機不允許他安裝《反恐精英》和《使命召喚》這些他想玩的遊戲,而且還限制了可以訪問的網站。但哈欽斯發現他可以通過編程繞過這些限制。他在 Microsoft Word 內發現了一個可用 Visual Basic 語言編寫腳本的功能。使用這一腳本功能,他可以運行任何他想運行的代碼,甚至安裝不被允許安裝的軟件。使用這一技巧,他安裝了一個代理軟件,可讓他的網絡流量經過一個遙遠的服務器後再到達目標位置,從而擊敗了學校想要過濾和監控他的網絡流量的企圖。
13 歲生日時,哈欽斯的父母同意給他買一臺個人電腦,但他要求購買零件,然後自己組裝。哈欽斯的母親說,這臺電腦很快就成了他的「摯愛」。
哈欽斯仍在海上衝浪,還參加了一種競技性救生運動:衝浪救生(surf lifesaving)。他很擅長這一運動,還贏得過一些國家級獎牌。但他把其它剩餘時間都放在了計算機上,要麼玩遊戲,要麼精進自己的編程技術,通常一干就是幾個小時。
他的癡迷讓母親擔憂。她尤其擔心網絡中黑暗的邊緣地帶可能會影響她的兒子,她半開玩笑地將那些東西稱爲「互聯網惡魔(internet boogeyman)」。
因此她試過在馬庫斯的電腦上安裝家長控制軟件,但馬庫斯使用一種簡單的技術就獲得了那臺計算機的管理員權限,然後關閉了家長控制功能。她還試過通過他們的家庭路由器限制他的互聯網接入,但他發現路由器上的硬件重置功能能將其恢復出廠設置,然後他重新配置了路由器,反過來將她的計算機離線了。
「在那之後我們進行了一次長談。」Janet 說,她威脅說要拆掉家裏的網線。他們最終還是停戰了。「我們同意如果他把網絡連接還給我,我會換種方式監控他。但實際上,根本沒辦法監控馬庫斯。因爲他比我們任何人都要聰明。」
窺探暗面的青少年黑客
許多母親對互聯網惡魔的恐懼被誇大了,但 Janet 的恐懼並沒有。
哈欽斯得到自己的計算機後不到一年,就開始探索初級黑客網絡論壇——一個致力於在當時流行的即時通信平臺 MSN 上搞破壞的論壇。他在這裏發現了一個社區,裏面都是和他想法一樣的年輕黑客在炫耀自己的成果。有一個黑客吹噓自己創造了一種可以僞裝成 JPEG 的 MSN 蠕蟲病毒。當有人打開這個文件時,這個惡意軟件會立即以隱藏方式將自己發送給該用戶的所有 MSN 聯繫人;其中一些人會打開這張圖片,進而導致下一輪的傳播。
哈欽斯當時並不知道這樣的蠕蟲有什麼實際用處,但這卻給他留下了非常深刻的印象。「我當時想,太酷了,編程居然能做這種事。」他說,「我也想做這種事。」
14 歲那年,他爲該論壇做出了自己的貢獻——一個簡單的密碼竊取軟件。只要將其安裝在某人的電腦上,它就能直接拉取受害者存儲在 IE 瀏覽器中的網絡賬戶的密碼。這些密碼是經過加密的,但哈欽斯找到了 IE 瀏覽器隱藏解密密鑰的位置。
哈欽斯的第一款惡意軟件得到了該論壇的認可。但他想用這款惡意軟件盜取誰的密碼呢?「我不知道,真的。」哈欽斯說,「我當時只是想:我做了個很酷的東西。」
隨着哈欽斯的黑客事業開始成型,他的學業受到了影響。他傍晚從海灘回家後會徑直回自己的臥室,在電腦面前吃飯,然後假裝睡覺。在他的父母看他熄燈之後回自己房間睡覺時,他又會回到電腦前。「他瞞着我們一直編程到凌晨。」Janet 說,當她第二天早上叫醒他時,「他看起來很憔悴,因爲他只睡了半小時。」不明就裏的母親非常擔心,於是帶他去看了醫生,結果被診斷爲睡眠不足。
大約 15 歲那年的一天,哈欽斯在學校發現自己的網絡賬戶被鎖定了。幾小時後,他被叫到了學校的行政辦公室,並被指控攻擊學校的網絡,導致學校不得不換掉一臺遭到嚴重破壞的服務器。哈欽斯堅決否認參與此事,並要求查看證據。但他說學校管理員拒絕分享證據。不過那時候他在學校 IT 人員那裏已經臭名昭著了。即使今天他還認爲自己是最方便的替罪羊。「馬庫斯不擅長說謊。」他的母親同意這一點,「他很喜歡自吹自擂。如果是他乾的,他肯定會說是他乾的。」
哈欽斯的賬號被停用了兩週,然後學校永久性地禁止他在學校使用計算機。他的迴應很簡單:儘可能少地待在學校。他完全變成了夜貓子,白天在課堂上睡大覺,甚至常常不去上課。他的父母很生氣,但他要麼乘車去學校,要麼就去衝浪,大部分時候都能躲開父母的責罵和懲罰。「他們總不能強行拖我去學校,」哈欽斯說,「我是個大個子。」
2009 年,哈欽斯一家從原來那座農場搬到了前郵局房子裏,新住所坐落在僅有一個酒吧的小村子中。馬庫斯佔了頂樓的一個房間。除了獲取食物和咖啡,他很少離開自己的房間,而且他大部分時間都把自己的門鎖着。
差不多同時,哈欽斯經常訪問的那個 MSN 論壇關閉了,因此他轉到了另一個名爲 HackForums 的社區。這個論壇的人技術略先進一點,而道德觀也更晦暗一些:一羣年輕黑客構成的「蠅王」想要通過虛無的黑客行動來折服另一羣年輕黑客。要贏得 HackForums 的尊重,最小的籌碼是擁有一個殭屍網絡,即成百上千臺會遵照該黑客的指令辦事的被惡意軟件感染的計算機。黑客可以使用殭屍網絡向目標灌入大量垃圾流量,迫使其網絡服務器離線——這種攻擊方式被稱爲分佈式拒絕服務攻擊(DDoS 攻擊)。
這時候,哈欽斯的英國鄉村田園生活與祕密的網絡朋克生活並無重疊,沒有任何現實的約束能防止他進入那充斥着不道德的網絡地下世界。於是年僅 15 歲的哈欽斯很快就在那個論壇上吹噓自己運行着一個包含 8000 臺計算機的殭屍網絡,其中大多數都是他通過 BitTorrent 上傳的虛假文件劫持的。
不僅如此,哈欽斯還開始了自己的事業。他開始租用服務器,然後以按月收費的方式向 HackForums 的成員出售網絡託管服務。哈欽斯稱自己的公司爲 Gh0sthosting,並在 HackForums 上宣傳說這是一個允許「所有非法網站」的地方。有一次一位客戶問能否託管黑市軟件 warez,哈欽斯立即回覆說:「除了兒童色情,任何網站都可以。」
哈欽斯說,在自己當時那青少年的思想裏,這些東西都算不上是「真正的」犯罪,不會讓他受到執法部門注意。
但是,不到一年時間,哈欽斯就對他的殭屍網絡和託管服務感到厭倦了,因爲他發現這需要應付很多「喜歡抱怨的客戶」。於是他不再做這兩件事,而是專心於他更喜歡的事情:完善自己的惡意軟件。很快他就拆分了其他黑客的 rootkit,即用於修改計算機操作系統的程序,使得惡意軟件可以隱藏起來。他研究了它們的功能,學會了將自己的代碼隱藏到其它計算機進程中,使得他的文件在計算機的文件目錄中不可見。
當哈欽斯在 HackForums 發佈了一些示例代碼炫耀自己的技術時,另一位會員注意到了他,並讓他寫一段檢查特定殺毒軟件能否檢測某個惡意軟件的代碼。從這個任務中,哈欽斯獲得了價值 200 美元的 Liberty Reserve,這是一種早期的數字貨幣。之後,這位客戶又用 800 美元購買了哈欽斯寫的 formgrabber,這是一個可以祕密竊取人們輸入網絡表單的密碼和其它數據的 rootkit。
哈欽斯在當惡意軟件槍手方面開始有了些名氣。然後 16 歲那年,一位更加嚴肅的客戶接洽了他。這個人的化名是 Vinny,他爲哈欽斯提供的工作任務是:一個多功能且易於維護的 rootkit,以便他能在 Exploit.in 和 Dark0de 等比 HackForums 更加專業的黑客市場上進行銷售。而且回報不是預付款,而是一半的銷售利潤。他們將這款產品稱爲 UPAS Kit,得名於爪哇的 upas 毒樹,其毒汁曾在東南亞地區用於製作毒鏢和毒箭。
Vinny 不同於哈欽斯曾遇到過的那些喜歡自吹自擂的黑客;他更專業,口風更緊,從不談論有關自己個人生活的任何細節。而且哈欽斯和 Vinny 都非常注意,從不保存他們的對話日誌。
但哈欽斯卻並未對自己的個人生活那麼守口如瓶。哈欽斯曾有一次提到過自己生活在英格蘭的農村地區。然後他們談到了當時的一個新黑市網站「絲綢之路(Silk Road)」。
那時還是 2011 年,這個網站尚不爲大衆所知。哈欽斯當時也覺得這是個騙局。「屁話,」哈欽斯這樣對 Vinny 說,「證明一下!」
於是 Vinny 要了哈欽斯的地址和出生日期。他說要給哈欽斯送一個生日禮物。哈欽斯提供了這兩個信息,但很快他就後悔了。
哈欽斯 17 歲生日那天,一個包裹被郵寄到了他父母家。裏面是一包毒品。
走上網絡犯罪道路
經過接近 9 個月的工作後,哈欽斯完成了 UPAS Kit,並在 2012 年夏季將這款 rootkit 上市銷售。哈欽斯沒向 Vinny 問起過買家是誰。他只是很高興自己已經不再是一個到處炫耀的 HackForums 菜鳥了,而是受人歡迎和讚賞的專業程序員。
而且錢也很多。Vinny 開始以比特幣向哈欽斯支付 UPAS Kit 的佣金,數額通常等值數千美元。哈欽斯發現自己第一次有了真正意義上的可支配收入。他升級了電腦,買了一臺 Xbox 和一套新音響系統,而且開始炒比特幣。那時候,他已經完全輟學,而且因爲教練退休,他也已經不再進行衝浪救生運動。他告訴父母自己正從事自由編程工作,他的父母似乎很滿意。
UPAS Kit 很成功,Vinny 對哈欽斯說是時候開發 UPAS Kit 2.0 了。他想要可以記錄受害者鍵盤輸入和監控受害者顯示器的新功能。最重要的是,他想要能向受害者觀看的頁面注入虛假文本字段或其它內容的功能,即網絡注入(web inject)功能。
哈欽斯說,最後這項要求讓他感到不安。在哈欽斯看來,網絡注入的目的很明確:銀行詐騙。大多數銀行在轉賬時都要求提供第二個認證因素,這通常是通過向用戶的手機發送驗證碼來實現。網絡注入可通過虛假頁面來攔截用戶輸入的驗證碼。這在哈欽斯看來是很嚴重的犯罪。
過去幾年裏,哈欽斯在網絡犯罪的道路上小步前進,卻不知不覺已經跨過了自己曾警惕的紅線。哈欽斯對 Vinny 說這無疑是幫人盜竊無辜受害者的錢財,這是不對的。而且這樣實際性的網絡金融犯罪會讓他受到執法部門的注意。
在那之前,哈欽斯還簡單地以爲自己寫的軟件只會被用於盜取 Facebook 賬戶或劫持人們的電腦來挖加密貨幣之類的事情。「我之前從不知道我的代碼被用來做了什麼。」他說,「但現在很明顯了。它們會被用於竊取人們的錢財。它們會被用於掏空人們的積蓄。」
他表示自己拒絕了 Vinny 的要求。
但 Vinny 堅持要他做,並且以半開玩笑半威脅的方式重申他知道哈欽斯的身份和住址。如果他們的業務關係終止,也許他會把這些信息交給 FBI。
哈欽斯很害怕,也對自己感到憤怒:自己竟天真地把這個冷血無情的罪犯看作是合作伙伴並分享了個人信息。但他堅持了底線,並反過來威脅說不再合作。明白自己需要哈欽斯編程技術的 Vinny 退步了。他們達成了一項協議:哈欽斯開發 UPAS Kit 的修訂版,但不帶網絡注入功能。
接下來幾個月裏,哈欽斯開始開發下一代 UPAS Kit 工具,同時開始上當地的一所社區大學。他與一位計算機科學教授建立了良好的關係,因此想要完成自己的學業。學業和開發維護 Vinny 的惡意軟件讓他精疲力盡。而且 Vinny 還一直催促他。
九個月通宵達旦的開發後,哈欽斯完成了第二版 UPAS Kit。但當他提交了自己完成的代碼後,Vinny 卻說了一個讓他驚訝的事情:他已經祕密僱傭了另一位程序員,寫了哈欽斯不願寫的網絡注入功能。只要將這些代碼組合到一起,就能得到一個功能完備的銀行木馬病毒軟件。
哈欽斯說他當時狂怒不止以至於說不出話來。他很快意識到自己沒有任何可用來對付 Vinny 的籌碼。這個惡意軟件已經寫好了。而且大部分還是哈欽斯寫的。
在那一瞬間,哈欽斯幾年來一直避免過多考慮的道德問題和懲罰威脅涌入了他的頭腦,讓他冷靜下來開始思考對策。「沒有擺脫困境的方法。」他記得當時這樣想,「FBI 終有一天會帶着逮捕令上門。而這都是因爲我信任了這個該死的傢伙。」
儘管如此,哈欽斯還有一個選擇。
Vinny 希望由他來完成整合工作,然後測試以及進行發佈後的更新維護。哈欽斯說他當時本能地認爲自己應該抽身離開,再也不與 Vinny 聯繫。但 Vinny 說哈欽斯已經工作了 9 個月,而且不管他怎麼想,這套工具都已經完成得差不多了。
而且如果哈欽斯退出,他也不會再收到佣金。他將承受所有犯罪風險,同時沒有任何回報。
雖然很憤怒,但哈欽斯承認自己被說服了。於是青春期的錯誤決定仍舊繼續。他同意繼續開發維護 Vinny 的銀行惡意軟件。
但他現在卻發現自己對編程的熱愛已經煙消雲散。他盡力拖延,然後又在恐懼和負罪感中沒日沒夜地編程。
2014 年 6 月,這套 rootkit 工具完工。Vinny 開始在 Exploit.in 和 Dark0de 等網絡犯罪黑市出售。之後他又開始在 AlphaBay 出售它,這是在「絲綢之路」被 FBI 取締之後新出現的暗網網站。
Vinny 在與失去聯繫的客戶發生爭執之後,決定爲 UPAS 換個名字。他使用了希臘神話中宙斯之父的名字:Kronos。最終,Kronos 成爲了史上最臭名昭著的銀行木馬病毒之一。
迷茫歲月與新的朋友
哈欽斯 19 歲時,他們一家搬到了位於德文郡伊爾弗勒科姆的一座 18 世紀的四層樓房中,那是一個維多利亞式海濱度假小鎮。哈欽斯住進了地下室,這裏之前是僕人住的地方,有獨立的浴室和廚房。這進一步切斷了他與家人及世界的聯繫,他前所未有地孤身一人。
當 Kronos 在 Exploit.in 上架出售時,並沒有取得多大成功。這個網站社區的人大都是俄羅斯人,對不說俄語的 Vinny 很是懷疑,而且他爲 Kronos 的定價高達 7000 美元。而且和其它新軟件一樣,Kronos 也有漏洞有待修復。客戶要求持續更新以及增加新功能。所以哈欽斯接下來一年時間裏一直在不斷編程,而且現在還要面對緊張的截止日期和要求見他們的憤怒買家。
加上大學學業,哈欽斯已經應接不暇,幾近崩潰。
終於,一個名叫 Randy 的網友讓他重新找到了生活的平衡。
哈欽斯與 Randy 是在黑客論壇 TrojanForge 上認識的。那是在 Kronos 發佈之後,Randy 問他能否爲他寫一個銀行惡意軟件。哈欽斯拒絕之後,Randy 又問他能否幫他開發一些合法的企業和教育應用。哈欽斯正希望通過合法收入來清洗自己的非法所得,於是同意了。
事實證明,Randy 是個慷慨的僱主。當哈欽斯告訴他自己沒有用來開發蘋果應用的 MacOS 設備時,Randy 詢問了他的住址。哈欽斯再一次提供了,然後 Randy 送了一臺全新的 iMac 給他。後來,Randy 還送了他一臺新的 PS4 遊戲機。
而且不同於 Vinny,Randy 樂於分享自己的個人生活。他們走得更近了,而且還會進行視頻聊天,而不只是哈欽斯早已習慣的文本交流。Randy 的慈善目標給哈欽斯留下了深刻影響,比如他會使用自己的利潤來資助爲孩童提供免費編程教育的慈善項目。哈欽斯認爲這些利潤多半來自網絡犯罪。但他開始將 Randy 視爲一個羅賓漢式的劫富濟貧的俠盜,並希望自己未來也能成爲這樣的人。Randy 說自己生活在陽光明媚的洛杉磯。他們甚至還討論過搬到一起,在南加州的某個海景房裏創立一家創業公司。
Randy 很信任哈欽斯,當哈欽斯介紹自己炒比特幣的技巧時,Randy 發送了超過價值 10000 美元的比特幣給他,讓其代爲交易。哈欽斯自己編寫了一個比特幣對衝程序,可以保護自己的資金免受比特幣價格劇烈波動的影響。Randy 請他用同樣的技術管理自己的資產。
2015 年夏季的一個晚上,哈欽斯所在的地方斷電了。而在此期間,比特幣價格暴跌了。因爲哈欽斯的電腦無法工作,Randy 的儲蓄一下就少了 5000 美元。哈欽斯慌了。
他立馬向 Randy 承認了這筆損失。但他提出了一項補償。哈欽斯揭露了自己的身份,說自己就是 Kronos 的祕密開發者。因爲知道 Randy 之前想要銀行詐騙惡意軟件,於是哈欽斯送了一套 Kronos 副本給他。Randy 表示理解,說這樣就扯平了。
這是哈欽斯第一次向其他人揭示自己的這個身份。但第二天,他才意識到這是個天大的錯誤:Randy 樂於分享個人信息,是個口風不緊的人。他遲早會被執法部門抓住,並且很可能會把自己供出來。
哈欽斯之前就已經認爲自己必然會因網絡犯罪被逮捕,而現在他已經感到聯邦特工在敲門了。哈欽斯當時想,「我肯定會這樣完蛋。」
舊的終結與新的開始
2015 年春季,哈欽斯從社區大學畢業,並決心改變自己。
這段時間他情緒低落,精神衰弱,注意力不集中。當 Vinny 問他爲什麼進度落後時,他藉口說自己仍忙於學業。
催得多了,Vinny 也累了,不再那麼頻繁地找他了。幾次責罵之後,Vinny 不再理他。銷售 Kronos 的比特幣佣金也停止支付,哈欽斯最黑暗的網絡犯罪時代終於過去。
接下來的幾個月裏,哈欽斯一直躲在自己房間裏,除了打遊戲和看《絕命毒師》,沒做任何特別的事情。他很少離開家,只是偶爾去海里游泳或參加風暴追逐者在附近懸崖邊的聚會。
幾個月後,情況好轉,但哈欽斯仍會感到間歇性的焦慮。他開始返回黑客世界。但對網絡犯罪已經興致全無,而是回到了他 2013 年建立的博客 MalwareTech :https://www.malwaretech.com,並在其中發佈有關惡意軟件的技術細節。該博客會發布剖析式的客觀分析,似乎能同時吸引黑帽和白帽訪問者。「這是一種中立的立場。」他說,「黑白雙方都喜歡。」
他甚至還寫過一篇關於網絡注入的深度解析。
很快,他的忠實讀者就超過了 10000 人,而且他們似乎不知道 MalwareTech 的見解很多來自作者的親身實踐。
離開 Kronos 幾年後,哈欽斯開始對世界上最大殭屍網絡中的 Kelihos 和 Necurs 進行反向工程。他意識到可從殭屍網絡內部監控其活動情況。爲此他編寫了一些殭屍網絡監控程序,可以標記出被殭屍網絡控制的計算機。不久之後,洛杉磯網絡安全創業公司 Kryptos Logic 的 CEO Salim Neino 聯繫了他,問他能否爲他們工作。該公司希望創建一個殭屍網絡跟蹤服務,可在用戶的計算機 IP 地址出現在 Kelihos 等殭屍網絡中時發出報警。
實際上,該公司已經在讓一位僱員進入 Kelihos 內部了,但他說反向工程這些代碼需要太多時間。哈欽斯還未察覺,他已經攻破了互聯網上最頑固的殭屍網絡之一。
Neino 爲哈欽斯提供了 10000 美元,希望其爲 Kryptos Logic 構建 Kelihos 跟蹤器。在完成這一個工作的幾周時間裏,哈欽斯還爲另一個更大規模的殭屍網絡 Sality 開發了跟蹤器。之後,Kryptos Logic 爲哈欽斯提供了一份年薪六位數的工作邀約。當哈欽斯看到這個數字時,他還以爲 Neino 在開玩笑。
這比他開發網絡犯罪惡意軟件賺的還多。哈欽斯這時纔開始瞭解現代網絡安全行業的現實情況:對西方國家的天才黑客來說,犯罪實際上沒啥回報。
受歡迎的職業網絡安全專家
在 Kryptos Logic 工作的前幾個月時間裏,哈欽斯進入了一個又一個大型殭屍網絡:Necurs、Dridex、Emotet……這些殭屍網絡控制的計算機總數多達數百萬臺。不過此時他仍在自家的臥室內工作。
「在殭屍網絡研究方面,他可能是那時候最優秀的人之一。在第三或第四個月,我們在他的幫助下實現了對世界上每個主要殭屍網絡的跟蹤。」Neino 說,「他將我們提升了一個層次。」
哈欽斯繼續在 MalwareTech 博客和他的 Twitter 上詳細介紹他的研究,並開始被視爲一位精英惡意軟件爆料者。但除了 Kryptos Logic 的同事以及少數幾個親近朋友,沒人知道 MalwareTech 的真實身份。
2016 年秋季,一種新型殭屍網絡問世。一種名爲 Mirai 的惡意軟件開始感染所謂的物聯網設備——無線路由器、數字錄像機和安保攝像機,進而組成超大規模的集羣,可實現非常強力的 DDoS 攻擊。在那之前,最大規模的 DDoS 攻擊每秒可向目標發送數百 GB 流量。但現在,這個新的殭屍網絡能向目標每秒灌入超過 1 TB 流量,這樣的攻擊足以癱瘓各種網絡服務。更糟糕的是,Mirai 的作者、代號 Anna-Senpai 的黑客還在 HackForums 上發佈了 Mirai 的代碼,邀請其他人也來創建自己的 Mirai 分支。
當年 9 月,安全博主 Brian Krebs 的網站遭到了一次 Mirai 攻擊,其網站每秒承受的流量超過每秒 600 GB,直接讓他的網站離線了。不久之後,法國託管公司 OVH 被每秒 1.1 TB 的流量洪流沖垮。10 月,域名系統服務商 Dyn 也遭受到了一波攻擊。Dyn 的下線導致北美和歐洲部分地區的用戶無法使用亞馬遜、Spotify、Netflix、PayPal 和 Reddit 等許多常用服務。幾乎同一時間,還有一場 Mirai 攻擊沖垮了利比里亞主要電信提供商的網絡,直接讓該國大部分地區脫離了互聯網。
哈欽斯開始追蹤 Mirai。他與 Kryptos Logic 的同事一起專研 Mirai 的代碼樣本,然後創建了可以滲透進入 Mirai 殭屍網絡之中的程序,該程序可以截聽其中的命令並通過 Twitter 實時遞送攻擊新聞:https://twitter.com/miraiattacks。2017 年 1 月,襲擊利比里亞的那個 Mirai 殭屍網絡對英國最大的銀行勞埃德銀行發動了襲擊,試圖敲詐勒索,這場襲擊導致該銀行的網站幾天內多次離線。
得益於他開發的 Mirai 跟蹤器,哈欽斯找到了向該殭屍網絡發送攻擊指令的服務器,並發現那是個提供「DDoS 攻擊租用服務(DDoS-for-hire)」的服務器。而在該服務器上,他發現了註冊該服務器的黑客的聯繫人信息。哈欽斯很快在即時通信服務 Jabber 上找到了他,其用戶名爲 popopret。
哈欽斯要求這個黑客停止攻擊。他告訴 popopret 說他知道他本人並不對攻擊勞埃德銀行直接負責,他只是出租了 Mirai 殭屍網絡的使用權。然後他發送了一些消息,包括因爲無法訪問網站而被困在國外無錢可用的勞埃德銀行客戶的推文。他還指出勞埃德銀行是英國的關鍵基礎設施,如果繼續攻擊,英國的情報機構肯定會追蹤到攻擊者。
這場 DDoS 攻擊停止了。
拯救互聯網的英雄
2017 年 5 月 12 日中午時分,英國皇家倫敦醫院的一位年輕麻醉師 Henry Jones(化名)發現出問題了。
他沒法登陸醫院的郵件系統。他當時與房間裏的其他醫生吐了吐槽,畢竟他們的辦公電腦還用着老舊的 Windows XP,英國 NHS 的系統也老是有各種問題,他們都習慣了。
但就在這時,一位 IT 工作人員走了進來,說這次問題更加不同尋常。一個病毒似乎正在醫院的網絡上傳播。他們重啓了辦公室內的一臺電腦,Jones 看到了帶鎖圖案的紅色屏幕,上面寫着:「糟糕,你的文件被加密了!」屏幕下方寫着需要支付 300 美元的比特幣才能解鎖該機器。
但 Jones 沒時間困惑,他還有手術室的工作要做。但這時候他得知手術室的電腦也中招了,當天安排的其他手術也被迫取消。這場網絡攻擊不僅襲擊了這家醫院的網絡,而且癱瘓了整個信託醫院網絡,其中包含倫敦東部地區的五家醫院。
Jones 很震驚很憤怒。這難道是對多家 NHS 醫院的協同攻擊?沒有病人可看,Jones 那天其餘時間都在幫助 IT 人員拔掉電腦網線。後來他看新聞才知道發生了什麼:這不是針對他們的攻擊,而是一種正在互聯網上瘋狂蔓延的自動化蠕蟲病毒。設施陳舊的醫院遭受重創,手術被迫取消,急救被迫延遲……Jones 意識到:人們可能因此失去生命。
網絡安全研究人員將這個蠕蟲病毒命名爲 WannaCry,得名於其在加密文件時添加在文件名稱後的 .wncry 擴展名。WannaCry 在加密計算機時還會使用名爲 EternalBlue 的一套強力代碼傳播自身。EternalBlue 是一個月前由一組名爲 Shadow Brokers 的黑客從國家安全局(NSA)竊取出來並公佈在網絡上的,老舊的 Windows 計算機很容易被其感染。現在,NSA 這個高度複雜的間諜工具變成了武器,幾個小時內就在全球範圍內造成了前所未有的勒索軟件大流行,受害者包括德國鐵路公司 Deutsche Bahn、俄羅斯聯邦儲蓄銀行、汽車製造商雷諾、日產和本田、中國多所大學、印度的警察局、西班牙電信公司 Telefónica、聯邦快遞和波音。短短一個下午的時間,該病毒就破壞了將近 25 萬臺計算機的數據,預估損失在 40 億-80 億美元之間。而且情況似乎還將繼續惡化。
那個星期五下午 2:30 左右,買完午餐的馬庫斯·哈欽斯坐回電腦前纔看到這場互聯網大災難。
幾分鐘後,一個代號 Kafeine 的黑客朋友給哈欽斯發送了 WannaCry 的代碼副本。來不及吃午餐,哈欽斯就開始剖析這些代碼。
首先,他在隔離的虛擬機中運行了這個程序。然後很快他就注意到其在執行加密時會向一個看起來隨機生成的網址發送一條查詢信息:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
很顯然,這個病毒採用了「命令-控制」模式,即某個地方的服務器能給被感染的計算機發送控制指令。哈欽斯將這個網址放到瀏覽器中,卻發現根本沒有網站。
因此他訪問了域名註冊商 Namecheap,在下午 3:08 用 10.69 美元註冊了這個地址。哈欽斯希望此舉能讓他從 WannaCry 創造者那裏奪回部分受害計算機的控制權。或者他至少可通過 sinkholing(沉洞)技術獲知受害計算機的數量和位置。
當哈欽斯將這個域名定向到 Kryptos Logic 的一組服務器上後,就立馬收到了全世界數千臺新被感染的計算機的連接。哈欽斯在 Twitter 上通報了這一信息,引起了世界各地的研究者、記者和系統管理者的關注。
下午 6:30,哈欽斯的黑客朋友 Kafeine 分享了一條推文給他。這條讓哈欽斯感到驚訝的推文來自安全研究者 Darien Huss:「攻擊失敗,因爲該域名已沉洞。」
換句話說,由於哈欽斯的域名首先上線,因此 WannaCry 感染雖然還會繼續,但並不會真正造成任何新的危害。這個蠕蟲病毒似乎就這樣失去功能了。
Huss 的推文中包含一段他反向工程得到的 WannaCry 代碼。該代碼的邏輯是在加密文件之間,首先檢查能否連接到哈欽斯的網絡地址。如果不能,就加密該計算機的內容。如果能夠連接,就停止工作。(惡意軟件分析師至今仍不明確 WannaCry 的創造者爲什麼要設置這一功能。)
哈欽斯並未找到這個惡意軟件的「命令-控制」地址,而是找到了它的死亡開關。這在哈欽斯的原本意料之外。
在他理解發生了什麼之後,他從椅子上跳了起來,在臥室裏開心地跳來跳去。然後他做了一件非同尋常的事:他上樓把這件事告訴了自己的家人。
他做護士工作的母親今天剛好休假,剛和朋友聚會回來準備開始做晚餐,因此還不真正知道這場危機。這時候她的兒子上樓來,用不確定的語氣告訴她,他似乎已經阻止了世界上有史以來最嚴重的惡意軟件攻擊。
「幹得好,親愛的。」Janet 說,然後回頭繼續切洋蔥。
黑客明星
幾個小時之後,哈欽斯及其 Kryptos Logic 的同事才意識到 WannaCry 的威脅仍然存在。哈欽斯註冊的域名仍然繼續收到大量連接,說明這個蠕蟲仍在繼續傳播。接下來的兩天時間裏,其收到了近 100 萬個連接。如果他們的網站域名離線,那麼這麼多計算機中的內容都會被加密,WannaCry 的破壞還會繼續。「如果這個網站下線,那麼 WannaCry 就會重新開始。」哈欽斯的老闆 Salim Neino 回憶說,「它會在 24 小時內感染全世界每一臺易受攻擊的計算機。」
問題很快就出現了。他們設置的網站遭受了 DDoS 攻擊。這場攻擊來自一個他們所監控的 Mirai 殭屍網絡。「我們感覺自己像是阿特拉斯,全世界都在我們肩上。」Neino 說,「但現在還有人在背後踢阿特拉斯的背。」
此後的幾天時間裏,攻擊規模逐漸升級,幾乎使這個沉洞域名癱瘓。Kryptos Logic 緊張地應對,一邊過濾流量,一邊使用亞馬遜數據中心和法國託管公司 OVH 的服務器分流。在接下來的一週裏,爲了保證 WannaCry 死亡開關能有效工作,哈欽斯的連續睡眠時間不超過 3 小時。
與此同時,新聞媒體也在不斷刺探匿名的哈欽斯的真實身份。WannaCry 爆發兩天後的星期天上午,當地一位記者出現在哈欽斯家的前門。這位記者的女兒曾與哈欽斯一起上學,並在一張寫了 MalwareTech 的 Facebook 照片中看見過他。
不久之後,更多記者來按他家的門鈴,他家對街的停車場停滿了車,而且電話太多讓他父母都不再接聽了。英國小報還用誇張的標題報道他,稱他是在臥室中「意外」拯救世界的英雄。爲了滿足這些媒體的胃口,哈欽斯接受了一次採訪,但他太緊張,連自己的名字都寫錯了。
那些天,哈欽斯擔心 WannaCry 的作者還會修改代碼再次發動攻擊,畢竟做起來不難。但還好並沒出現這個問題。此後,在英國國家網絡安全中心的協調下,亞馬遜數據中心和 Cloudflare 爲 Kryptos Logic 提供了流量保證,讓他們能穩定地運行這個死亡開關域名。
WannaCry 爆發一週之後,最危險的時間過去了,Neino 很擔心哈欽斯的健康,於是提供獎金讓他休息:在牀上每睡覺一小時就有 1000 美元獎金。
聚光燈雖然讓哈欽斯不適,但並非全無好處。一夜之間,他的 Twitter 關注者就超過了 10 萬。有在當地酒吧裏認出他的人請他喝飲料,感謝他拯救了互聯網。當地一家餐廳贈送了他一年的免費披薩。他的父母才終於知道兒子做了什麼,並深深地爲他感到驕傲。
但直到 WannaCry 爆發三個月後的 Defcon 大會,哈欽斯纔開始真正接受自己「網絡安全領域巨星」的身份。爲了避免總有粉絲找他合影,他和一些朋友用 AirBnb 租了一套帶有巨大私人游泳池的豪宅。他們基本沒有參會聽演講,而是到處參加派對聚會——充斥着各種豪華露天活動和荒唐的娛樂活動。
他玩得很嗨很開心。
此時已是離開 Kronos 三年後,哈欽斯感覺自己已經是完全不同的人了。這個冉冉升起的明星也終於開始放下自己的心結,不再擔憂過去的網絡犯罪經歷。
然後,在拉斯維加斯最後一天的上午,他看見了一輛黑色 SUV 停在租來的豪宅門前的街道上。
被捕
在麥卡倫機場的問詢室,在兩位特工提到 Kronos 幾分鐘後,哈欽斯就以半告解的形式供認了一切。他承認自己寫了 Kronos 的部分代碼,但他錯誤地聲稱他在 18 歲之前就已經停止爲其工作。他說,他還隱隱相信自己在 WannaCry 方面的貢獻能得到這些特工的考慮,讓他們相信自己。於是他緊張地在沒有律師在場的情況下回答了他們的問題。
但是,當這兩位特工展示一份對話記錄時,他一廂情願的考慮煙消雲散。這是三年前他與 Randy 對話的記錄,那時候他 20 歲。
最後,紅髮特工 Lee Chartier 說明了他們的意圖。Chartier 說:「老實說,馬庫斯,這事兒與 WannaCry 無關。」然後他們拿出一份逮捕令,以涉嫌計算機欺詐和濫用的罪名逮捕了他。
在獲准給老闆 Salim Neino 打電話後,在離家 5000 英里的地方,他被關進了監獄,腦中不斷擔憂着自己的未來。那是他 23 年的人生中最孤獨的夜晚。
哈欽斯不知道,黑客社區正對此發生某種免疫反應。Neino 在接到電話之後把消息告訴了哈欽斯的黑客朋友 Andrew Mabbitt,而後者又把這個新聞分享給了 Vice 的一位記者並在 Twitter 上拉響了警報。很快,人們集結起來爲這位遭難的黑客英雄說話,同時猜測他被捕的原因。
有人認爲他可能是因爲被誤認爲是 WannaCry 的創造者而被逮捕。
但也有人分析說 WannaCry 是哈欽斯故意散佈然後自己再動手解決的。不過 8 個月後美國國防部指出攻擊者是朝鮮一個國家支持的黑客團隊。
哈欽斯的英國故鄉以及黑客社區開始爲他提供幫助,包括法律服務、資金支持等等。
著名網絡安全專家 Tarah Wheeler 和 Deviant Ollam 夫婦最終幫助素未謀面的哈欽斯支付了 30000 美元保釋金,讓他不必在監獄裏再呆一晚。
救贖與審判
兩位資深律師 Brian Klein 和 Marcia Hofmann 成了他的辯護律師。在律師的努力下,哈欽斯得以在 Klein 所在的房子拘留。接下來的兩個月時間裏,他的人身限制被逐漸解除——漸漸可以離開公寓以及使用互聯網,但法院禁止他訪問他創建的 WannaCry 沉洞域名。最後,他的宵禁和 GPS 監控腳環也被解除了。
Kryptos Logic 給他放了無薪假,他開始常常衝浪和騎行。
但他仍然深感擔憂。他沒有收入,積蓄也逐漸減少,而且還有可能導致幾年監禁的指控。
最重要的是,事實就在那裏:儘管人們在說他的英雄事蹟,但那些犯罪事實也是真的。當他可以再次使用 Twitter 時,這種負罪感尤其強烈。「他們都在對 FBI 說他們抓錯了人,這很讓人心痛。」哈欽斯說,「這種負罪感比我對 Kronos 的負罪感強 1000 倍。」他說他曾想在博客上發佈一篇完整的認罪書,但律師阻止了他。
很多支持者將他的無罪請求視爲無罪聲明,而不是一種談判策略,而且他們還繼續通過一個法律基金給他捐款。前 NSA 黑客 Jake Williams 同意當哈欽斯的專家證人。Tarah Wheeler 和 Deviant Ollam 夫婦幾乎成了哈欽斯的養父母,陪他一起前往密爾沃基接受審訊,幫助他料理在洛杉磯的生活。他覺得自己不配擁有這些——所有幫助他的人都錯誤地假設他無罪。
後來,真相浮出了水面,人們知道了他確實運營過非法託管服務,維護過一個殭屍網絡,寫過惡意軟件。但即便如此,他的很多支持者依然支持他。「我們都是道德上很複雜的人。」Wheeler 說,「對我們大多數人來說,做好事要麼是因爲我們之前做過壞事,要麼是因爲其他人做了好事來幫助我們沒做壞事,或者同時出現這兩種情況。」
但哈欽斯仍然因爲覺得自己是僞君子而深感痛苦,他甚至想過自殺。他說這種負罪感正「活生生地吞噬我」。
2018 年春季,在被逮捕近 9 個月後,檢察官提出了一份交易。如果他同意供認他所知的有關其它犯罪黑客和惡意軟件作者的身份信息,他們就會提議無需坐牢的判決。
哈欽斯猶豫了。他說他其實並不知道 Vinny 的真實身份,而那纔是檢察官的真正目標。但他還說,原則上他不應該爲了躲避自己行爲的後果而出賣其他黑客。最終,哈欽斯拒絕了這項交易,靜待審判。
不久之後,檢察官反擊了,將指控增加到了 10 條,包括在 FBI 初次問詢時提供虛假供詞。
在一番交涉之後,哈欽斯最終在 2019 年 4 月接受了一份新交易。這份新交易比之前的風險更大。檢察官同意不提供量刑建議。而哈欽斯要對這 10 項指控中的 2 項認罪,並且還可能面臨最高達 10 年的監禁和 50 萬美元的罰款,這完全由法官定奪。
在哈欽斯的懇請下,他也終於在自己的博客上公開認罪了——不是完整的,而是得到了他的律師批准的簡短聲明。其中寫道:「在我進入安全領域工作之前的幾年裏,我確實參與了兩項有關編寫惡意軟件的指控,對此我表示認罪。我爲這些行爲感到後悔,並願對我的錯誤承擔全部責任。」
然後他發了一條更認真的推文,旨在反駁那些說他的黑帽經歷有助於白帽事業的言論:
「人們有誤解,說安全專家必須要親自踏足黑暗面。這不是真的。你可以合法地學習你想知道的一切。堅持留在好的一面吧。」
2019 年 7 月的一天,哈欽斯抵達密爾沃基一家法院接受判決。他身穿一套灰色西裝,爲了避開媒體而提前兩個小時到達。
77 歲的法官 Stadtmueller 說他已經當法官 30 年了,審判過 2200 人。但沒有一個像哈欽斯一樣。
法官說他認爲哈欽斯不僅是一位被定罪的罪犯,更是一位網絡安全專家,而且在接受正義的裁決之前就已經走向了正途。法官權衡了監禁哈欽斯的威懾價值以及這位年輕黑客的天才頭腦的價值。最終,這位法官認爲哈欽斯值得完全特赦,但法院無權這麼做。
最終,馬庫斯·哈欽斯被判一年的刑期,可獄外服刑。
哈欽斯簡直不敢相信。在首次被捕的兩年之後,他獲得了自由。
儘管如此,哈欽斯的負罪感仍舊沒有完全放下。但他終於可以將過去輝煌與祕密的重負放在身後,專注於自己的工作了。
「我不希望被貼上 WannaCry 或 Kronos 標籤,我只希望成爲一個能幫助讓世界更好的人。」哈欽斯表示。
原文鏈接:https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/?utm_source=digg&utm_medium=email
