【勒索病毒 WannaCry 被他 K.O.】拯救全球網路的 22 歲天才少年駭客,為什麼後來進了牢房?

【我們為什麼選擇這篇文章】3 年前讓不少公司欲哭無淚的勒索病毒「WannaCry」,被這名天才少年破解,當時被網路世界封為「救世主」的他,到底為什麼進了牢房,這篇文章重述峰迴路轉的過程。(責任編輯:戴慈慧)

2017 年,一位名叫 Marcus Hutchins 的少年從有史以來最嚴重的網絡攻擊事件「WannaCry 勒索病毒」中拯救了網路。

如果你是個 geek,那麼你對 WannaCry 這個名字一定不陌生, 這是一種可以自行傳播的病毒軟件,通過網路散布到了世界的各個角落,摧毀了數十萬台電腦中的數據。正是 Hutchins 找到並激活了其代碼中隱藏的死亡開關,進而遏制了 WannaCry 的進一步蔓延。

沒想到,三個月後,這位拯救了網路的天才少年卻被戴上了手銬。

一開始 Hutchins 以為警察只是想瞭解自己在 WannaCry 上的工作,但當他們問到了一個名為「Kronos」的程序之後,他意識到,自己可能回不了家了。

天才少年誤入歧途

Marcus Hutchins 從小就痴迷電腦,他與同齡人最大的不同是,Hutchins 對電腦超乎尋常的興趣和天分。

13 歲生日時,Hutchins 的父母同意給他買一台個人電腦,但他要求購買零件,自己組裝。這台電腦很快就成了他的「寶貝」。

得到自己的電腦後不到一年,他開始瀏覽初級駭客網絡論壇——一個致力於在當時流行的通訊平台 MSN 上搞破壞的論壇。他對駭客有了初步的瞭解,在他眼中這些駭客「太酷了,編程居然能做這種事。」他也想這麼做。

於是 14 歲那年,他在論壇上提交了自己做的一個簡單的密碼竊取軟體。只要將其安裝在某人的電腦上,它就能直接拉取受害者存儲在 IE 瀏覽器中的網絡帳戶的密碼。

後來,Hutchins 又在 HackForums 社區接觸到了僵屍網絡,即成百上千台會遵照該駭客的指令辦事的被惡意軟件感染的電腦。年僅 15 歲的 Hutchins 很快就在那個論壇上吹噓自己運行著一個包含 8000 台電腦的僵屍網絡,其中大多數都是他通過  BitTorrent 上傳的虛假文件劫持的。

不僅如此,Hutchins 還開始了自己的事業。他開始租用服務器,然後以按月收費的方式向 HackForums 的成員出售網絡托管服務。

在當時,他意識不到這些屬於犯罪。

噩夢的開始

然後 16 歲那年,他遇到了令他陷入噩夢般生活的人——Vinny。

Vinny 聯繫到了他,他給 Hutchins 的工作任務是:一個多功能且易於維護的  rootkit,以便他能在 Exploit.in 和 Dark0de 等比 HackForums 更加專業的黑客市場上進行銷售。而且回報不是預付款,而是一半的銷售利潤。

他們將這款產品稱為 UPAS Kit。

Vinny 不同於 Hutchins 曾遇到過的那些駭客,他更專業,口風更緊,從不談論有關個人生活的任何細節。

但 Hutchins 卻並未對自己的個人生活那麼守口如瓶。於是 Vinny 要了 Hutchins 的地址和出生日期。他說要給 Hutchins 送一個生日禮物。Hutchins 提供了這兩個信息,但很快他就後悔了。

Hutchins 17 歲生日那天,一個包裹被郵寄到了他父母家,裡面裝著一包毒品。

9 個月後,Hutchins 完成了 UPAS Kit,並在 2012 年夏季將這款 rootkit 上市銷售。Vinny 開始以比特幣向 Hutchins 支付 UPAS Kit 的傭金,數額通常等值數千美元。

UPAS Kit 很成功,隨後 Vinny 要求 Hutchins 幫助開發 UPAS Kit 2.0。在新版本中, Vinny 希望可以記錄受害者鍵盤輸入和監控受害者顯示器的新功能。最重要的是,還有向受害者觀看的頁面注入虛假文本字段或其它內容的功能。

Hutchins 說,最後這項要求讓他感到不安。在他看來,注入虛假文本字段的目的很明確:銀行詐騙。這在 Hutchins 看來是很嚴重的犯罪。

步步逼近危機

在過去幾年中,Hutchins 一直在網絡犯罪的道路上小步前進,卻不知不覺已經跨過了自己曾警惕的紅線。他就這樣一步步走向深淵,無法抗拒 Vinny 的要求,因為 Vinny 掌握著他大量的個人信息。

儘管如此,Hutchins 還有一個選擇——退出。然而這意味著他也不會再收到傭金。他將承受所有犯罪風險,同時沒有任何回報。

他還是選擇幫助 Vinny 繼續維護銀行惡意軟件。

後來,Vinny 改名為 Kronos。最終,Kronos 成為了史上最臭名昭著的銀行木馬病毒之一。

成為拯救網路的英雄

2017 年 5 月 12 日中午,WannaCry 病毒首次出現在了英國皇家倫敦醫院。

網絡安全研究人員將這個蠕蟲病毒命名為「WannaCry」,得名於其在加密文件時添加在文件名稱後的 .wncry 擴展名。WannaCry 在加密電腦時還會使用名為 EternalBlue 的一套強力代碼傳播自身。EternalBlue 是由一組名為 Shadow Brokers 的駭客從國家安全局(NSA)竊取出來並公佈在網絡上的,老舊的 Windows 電腦很容易被其感染。

短短一個下午的時間,該病毒就破壞了將近 25 萬台電腦的數據,預估損失在 40 億—80 億美元之間。而且情況似乎還將繼續惡化。

當天下午 2:30 左右,Hutchins 坐回電腦前才看到這場網路大災難。

幾分鐘後,一個代號 Kafeine 的駭客朋友給 Hutchins 發送了 WannaCry 的代碼副本。來不及吃午餐,Hutchins 就開始剖析這些代碼。

首先,他在隔離的虛擬機中運行了這個程序。然後很快他就注意到其在執行加密時會向一個看起來隨機生成的網址發送一條查詢信息:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

很顯然,這個病毒採用了「命令-控制」模式,即某個地方的服務器能給被感染的電腦發送控制指令。Hutchins 將這個網址放到瀏覽器中,卻發現根本沒有網站。

因此他訪問了域名註冊商 Namecheap,在下午 3:08 用 10.69 美元註冊了這個地址。Hutchins 希望此舉能從 WannaCry 創造者那裡奪回部分受害電腦的控制權。或者他至少可通過 sinkholing(沈洞)技術獲知受害電腦的數量和位置。

當 Hutchins 將這個域名定向到 Kryptos Logic 的一組服務器上後,就立馬收到了全世界數千台新被感染的電腦的連接。Hutchins 在 Twitter 上通報了這一信息,引起了世界各地的研究者、記者和系統管理者的關注。

下午 6:30,Hutchins 的黑客朋友 Kafeine 分享了一條推文給他。這條讓 Hutchins 感到驚訝的推文來自安全研究者 Darien Huss:「攻擊失敗,因為該域名已沈洞。」

換句話說,由於 Hutchins 的域名首先上線,因此 WannaCry 感染雖然還會繼續,但並不會真正造成任何新的危害。這個蠕蟲病毒似乎就這樣失去功能了。

他從椅子上跳了起來,在臥室里開心地跳來跳去。然後他做了一件非同尋常的事:他上樓把這件事告訴了自己的家人。

轉眼之間,他的推特粉絲就超過了 10 萬。有在當地酒吧裡認出他的人請他喝飲料,感謝他拯救了電腦,還有一家當地餐廳贈送了他一年的免費披薩。他的父母才終於知道兒子做了什麼,並深深地為他感到驕傲。

但直到 WannaCry 爆發三個月後的 Defcon 大會,Hutchins 才開始真正接受自己「網絡安全領域巨星」的身份。

即使拯救全網,仍無法抵消先前犯罪事實

警察終究找到了他。

確實運營過非法托管服務,維護過一個僵屍網絡,寫過惡意軟件。但即便如此,仍然有很多人支持他。

但 Hutchins 卻被自己的負罪感苦苦折磨,他甚至想過自殺。

審判他的法官已經 77 歲了,當了 30 年法官,卻沒有遇到一位像 Hutchins 一樣的罪犯。

法官說他認為 Hutchins 是一位被定罪的罪犯,也是一位網絡安全專家,而且在接受正義的裁決之前就已經走向了正途。法官權衡了監禁 Hutchins 的威懾價值以及這位年輕駭客的天才頭腦的價值。最終,這位法官認為 Hutchins 值得完全特赦,但法院無權這麼做。

最終,Hutchins 被判一年的刑期,可獄外服刑。

他簡直不敢相信。在首次被捕的兩年之後,他獲得了自由。

儘管如此,Hutchins 的負罪感仍舊沒有完全放下。但他終於可以將過去的一切放在身後,專注於自己的工作了。

Hutchins 表示,「我不希望被貼上 “WannaCry” 或 “Kronos” 的標籤,我只希望成為一個能對世界有所幫助的人。」

(本文經合作夥伴 大數據文摘 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈22 岁少年破解史上最严重网络攻击,拯救全球互联网,三个月后却被 FBI 逮捕 〉。首圖來源: 大數據文摘

你可能感興趣


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: