——安全研究员布赖恩·克雷布斯询问帕拉斯·杰哈,
是否编写并操作了Mirai僵尸网络事件,他回答道。
2016年10月21日,星期五,美国东海岸的大多数人的互联网出现了故障。那些7点钟起床的人们发现自己无法登录推特、无法登录亚马逊,奈飞也无法播放任何节目。这是一次有预谋的网络攻击吗?不过奇怪的是,其他的网站还能正常运行。是有人拔出了某些地方的网络接口吗?
几个小时之后,一切恢复了正常。对大多数人来说,生活一如既往地进行着。然而,东海岸下午1点左右,迪恩公司(Dyn)的技术人员正在努力调查这一现象的原因,并得出了最终结论:这是一场针对他们服务器的数据海啸,也就是我们所知道的DDOS(分布式拒绝服务)攻击。他们成功躲开了攻击但当天晚上又发生了一次攻击,他们也设法躲过了。
第一次数据海啸的规模空前宏大。迪恩公司估计,世界各地约10万台设备遭到了攻击,它们产生的流量高达每秒1.2太比特。1太比特等于1000千兆比特,或者100万兆比特。一般的本地连接每秒流量约为10兆比特,而这次攻击使用的带宽足够支撑一个城镇的网络。如果一个网站是一栋房子,那么DDOS攻击就相当于数百万户人家的门被锁住了。人们无法离开房子,因为出口遭到了封锁,也没有人能发送或交付任何东西。这就是迪恩公司的服务器那天所遭遇的经历。
迪恩公司在东海岸运行了DNS(域名系统)服务器,因为这场数据海啸,人们无法加载网站。DNS是一种查找服务,如果你在浏览器窗口输入netflix.com,你的电脑会向DNS服务器发送询问,查找最佳互联网协议(IP)地址,并向那个地址发送数据包。这类似于电话簿,但是大多数人不再使用电话簿,而DNS却是必不可少的。
DDOS攻击使服务器陷入瘫痪,导致使用迪恩公司DNS上网的用户都无法正常登录,IP地址无法响应,系统遭到冻结。这是一次十分特殊的攻击。2017年第一季度,Verisign公司报告表明,DDOS攻击的平均带宽为14.1Gbps,只有10%的系统能够坚持超过半个小时的攻击。而迪恩公司遭受的攻击规模是一般DDOS攻击的85倍,并且多次攻击,持续时间长达数小时。
攻击事件发生的数天后,许多团体声称遭到了攻击,还有一些团体站出来发声。维基解密认为这一事件的支持者暗藏的目标是摧毁整个美国网络系统;杰斯特(美国前军事黑客)认为这是俄罗斯政府所为;一个自称“新世界黑客”的组织(他们之前破坏过一些俄罗斯网站)表示,他们是这起事件的始作俑者,称“他们使用了自己特殊编码的超级计算机僵尸网络来完成这起犯罪”。
攻击事件发生5天后,各方都在试图寻找黑客的源头,迪恩公司表示这跟之前的DDOS攻击都不同。以前的攻击多来自个人电脑僵尸网络,数千台被恶意软件支配的Windows个人电脑集合在一起,无形的控制器悄然使用这些电脑去攻击网站,这些电脑的主人对此并不知情。
DDOS也是一种僵尸网络,但很多人认为,驱动它的设备不能算作电脑。它们可以是数字录像机、路由器以及闭路电视摄像机,是这些具有计算能力和联网功能的设备,但无法直接对其进行编程。这个巨大的僵尸网络有一个名字——Mirai。
这个名字对布莱恩·克雷布斯来说并不陌生,他以前就听说过Mirai,它的创造者也利用它掩盖了自己的足迹。
叫我博主
大多数人认为,克雷布斯只是一个写黑客和网络安全问题的博主。这低估了他对犯罪分子的威慑力,以及犯罪分子对他的威胁。
尽管这是一段漫长的苦旅,但他已经习惯了。2001年,克雷布斯是《华盛顿邮报》下属的科技新闻网“新闻字节”(Newsbytes)版块的撰稿人。当时,他正遭受网络蠕虫攻击,无法接入家庭网络。这激起了他对黑客的兴趣,并越陷越深。第二年,他成为该网站的全职作者,撰写了数百篇文章,并在他的安全修复博客中撰写了上千篇文章。2009年,他自立门户,成为一名独立的记者和研究员。写黑客的文章并不赚钱,这是个十分冷门的领域。在他之前,网络安全基本是安全顾问的工作,他们在一些简单明了、修复成本巨大的漏洞上大做文章。克雷布斯则像记者一样研究问题,再以网络研究员的角度写下发生的一切。现在,他既是一名演讲者,又是一名安全顾问,广告商也开始光顾他的“克雷布斯谈安全”网站。“我想要写别的地方看不到的故事,并培养忠实的读者,”他说,“如果你做得足够好,就会有广告商来找你。”甚至包括银行在内的企业也会找他寻求帮助,以确定泄露的数据和黑客的来源。
但是克雷布斯的调查内容却不受商业黑客的欢迎。商业黑客往往会侵入网站,强行下线系统,收集信用卡和其他线上个人信息进行贩卖,并用这些受感染的电脑建立起一个庞大的僵尸网络。克雷布斯自学了俄语,这是商业黑客的常用语言,他们多用俄语详述自己的功绩。克雷布斯透露,很多公司在上市前就被黑了,并列举了几个他确定的公司名字。有时,这些消息的来源是其他的黑客。
因此,他常遭到被他曝光的黑客的骚扰。其中一人给警察打电话,说克雷布斯的住址发生了一起枪杀案,这惊动了SWAT(特殊式武器装备与策略)小组。另一个人给他寄了海洛因,克雷布斯看了黑客论坛,发现了对方发布了海洛因的邮包单号,寄件人想要克雷布斯被捕,借以威慑其他人,这次惊动了警方与FBI。而克雷布斯自己的网站也多次遭受DDOS攻击。
但是,2016年9月20日,袭击他网站的DDOS攻击不同往常。攻击流量始终保持在280 Gbps,峰值在620 Gbps,这个数值非常高。我们也不难得知他为什么会成为目标,前一天,克雷布斯在网站中详细介绍了两名以色列黑客的身份,称他们是一项名为vDOS的DDOS租借服务的幕后策划。2006年春,克雷布斯表示,vDOS已经有“超过2.77亿秒的攻击时长”。过去2年内,他们获得的利润达618000美元。
但是vDOS已经下线了,攻击克雷布斯的黑客是从哪儿来的呢?这必定来自一个完全不同的DDOS租赁公司。是哪一个呢?
答案就是Mirai。它的僵尸装置遍布世界各地,Imperva的一项分析发现,有164个国家出现了感染Mirai的装置,其中最多的设备来自越南和巴西,这构成了攻击使用的IP的1/4。
物联网变得很糟糕。
更糟糕的是,人们对此的态度助长了问题的事态,F-Secure计算机及网络安全供应商的首席研究官米科·海坡能向我解释道:
人们不知道自己的热泵或者摄像机也可以摧毁互联网。“他们会说,‘我的热泵工作得好好的,那只是个热泵啊’。”海坡能回想道,“我就会问,‘那你们会采取点行动吗?’他们会回答,‘不,为什么要采取行动,它工作得很好’。”
面对这样的回答,即使是网络奇才也同样无计可施。
为了解释Mirai的构成,人们需要研究之前的僵尸网络——Qbot。了解了Mirai的前身Qbot,我们便能更好地了解病毒Bagle、MyDoom、NetSky、Srizbi和Storm的情况。
僵尸网络之战
2003年,黑客意识到,向网站发起DDOS攻击有利可图。于是他们首先选择一个依赖时间的网站,例如线上赌博网站和高峰期的购物网站,只需威胁他们能够强制下线网站,就可以得到一笔赎金。一起简单的敲诈就这么完成了。
固定服务器发送的垃圾邮件很容易被识别和屏蔽,但如果拥有成千上万的被感染的僵尸电脑,就不会出现这个问题。因此,使用僵尸网络散播垃圾邮件也是有利可图的。
Windows XP系统没有装配防火墙,并且没有内置杀毒软件,黑客利用这些固有的缺陷,试图创建起越来越大的僵尸网络。黑客诱导人们安装暗藏恶意软件的“特洛伊”程序,或者利用IE浏览器、Flash播放器和Windows的漏洞使其电脑悄无声息地安装恶意软件。微软在2002年1月发起了一个叫“可靠计算”(Trustworthy Computing)的计划,他们意识到了Windows系统和其他微软产品的安全问题,于是重新改写了程序,不仅增加了功能,还增强了现有代码的安全性。但是要想全面改善安全问题,还需要数年时间。
截至2004年年初,两种病毒MyDoom和Bagle已感染了上千台电脑。一种名为NetSky的病毒能抹除前两种病毒,但MyDoom和Bagle最终占了上风。MyDoom发展势头之猛,以至于7月26日直接关停了谷歌的搜索引擎。有商业头脑的黑客也意识到,僵尸网络的规模越大越好。
2007年,事情出现了转折,一个叫Srizbi的网络蠕虫出现了,它不仅能感染电脑,还能删除Storm僵尸网络安装的恶意软件。至此,病毒编写者不仅需要防范杀毒公司,还需要防范现有的和尚未出现的病毒。一场席卷无数个人电脑的战役激烈而无声地打响了。受害者可能会想,为什么他们的电脑运行得这么慢,比平时更容易死机,而且开机时间也变长了。但数据显示,很少有用户注意到自己电脑的异样。2009年,加州大学的一个研究小组研究了一种名为“Torpig”的恶意软件创建的僵尸网络,发现它控制了18万多台个人电脑,并且在10天内又增加了49000台。
消灭僵尸网络需要从源头抓起,找到指示其他电脑的命令控制(C&C)服务器,将这台服务器关停,才能解决根本问题。
命令控制服务器通常是用偷来的信用卡信息和假名注册的,但是服务器的主机会收到来自微软之类的大公司的投诉,这些公司追踪僵尸网络,将命令控制服务器强行离线。
但是在2008年,黑客开发出了名为“domain flux”的命令控制技术,使识别命令控制服务器变得更加困难。该程序包含一种算法,能每天自动改变网址,躲过搜寻命令控制服务器的人们。作为回应,僵尸网络“杀手”在装有前置时钟的虚拟机器上安装了恶意软件,试图预测命令控制服务器的下一步动作来锁定服务器。
僵尸网络的创建者也在不断更新代码,设备每天会收到来自命令控制服务器的回复;如果没有得到回复,机器会根据自己的算法生成下一个域名。一些僵尸网络依赖大量的命令控制域名,这大大提升了锁定服务器的成本。位于加州的研究小组注意到了一种叫“Conficker”的蠕虫,它出现在2008年11月,感染了900万~1500万台Windows电脑,它的算法每天能生成5万个域名,任何一个都有可能命令控制服务器。一个域名一年的注册费用仅需5美元,但Conficker蠕虫的前期投入达9130万美元。
僵尸网络的创建者和潜在的摧毁者之间开始了一场高速的地下追击战,大多数使用电脑的人们都没有意识到这场战争。与此同时,僵尸网络在地下论坛被标价出租,它以每秒千兆字节的速度去攻击任一指定的网站。vDOS就是其中的一例,直到克雷布斯的工作引起了以色列警方的注意。也因此,用于攻击Qbot的Mirai僵尸网络,随后攻击了克雷布斯。
石砖组成的暴民
据克雷布斯表示,Qbot(也叫Bashlite)的编写者在2013年开始攻击运行《我的世界》(Minecraft)游戏的服务器。这是一种单机积木游戏,可以单个玩家进行游戏,也可以多个玩家一起玩,人们在服务器上建造(或摧毁)虚拟的世界。这款游戏的光碟已经售出了1亿多张,每个月都有上百万人在玩,而且游戏的服务器特别受青年男玩家的欢迎。
克雷布斯估计,一个大型服务器拥有数千名玩家,人们租用磁盘存储和处理“能力”,并购买游戏中的产品跟“能力”,建立自己的“世界”,而服务器所有者每天能有近5万美元的收入。因此,如果他们遭到了DDOS攻击,服务器所有者将面临一笔巨大损失。如果你拥有一个僵尸网络,并威胁对方,你因此也可以敲诈一些钱。
但在2014年,要如何建立起僵尸网络呢?容易侵入的电脑早已被其他僵尸网络的运作者控制着,他们誓死保卫着自己的地盘;而由于操作系统和杀毒技术的改进,其他的电脑也很难被侵入;并且随着人们开始大量使用手机,电脑安装的基数正在紧缩。而侵入平板电脑跟手机是很困难的,谷歌和苹果吸取了微软的教训,为移动时代搭建了更为健全的架构。目前为止,尽管手机的数量已经超过了电脑,但还没有人能操纵手机组成僵尸网络。这是因为你无法远程登录和操纵手机,创造一个能在手机网络间传播的蠕虫更是难上加难。
尽管无法侵入智能手机,仍有一种新的联网设备为黑客带来了希望,那就是世界各地的物联网设备。
不同于互联网,物联网创造了一个由联网设备组成的网络,传感器和执行器通过互联网络传输数据,建立起了一个人类世界周边的信息世界,物联网甚至可以通过内部连接的个人设备,建立起内部信息网络。
使用互联网控制与监控设备的想法由来已久。20世纪90年代,比尔·盖茨担任微软首席执行官的时候,他没能意识到互联网可能带来的威胁,而他手下的一名年轻员工给他展示了特洛伊室咖啡壶(Trojan Room Coffee Pot),这是英国剑桥大学计算机实验室“特洛伊室”旁边的一台咖啡壶。大学的工作人员不愿意多走几级台阶去检查咖啡壶,所以他们装了联网摄像机,每隔几秒钟,一个视频捕获程序就会上传一张图片至共享服务器供他们检查。1993年11月,这一服务器连上了万维网,第一个网络摄像头“XCoffee”应运而生。
物联网的世界没有边界。物联网囊括了世界各地上百万台设备,硬件市场的商品化也给销售电子硬件的公司带来了额外的收入与利润。位于中国南方的深圳拥有繁荣的工业园区,他们量产较为单一的产品,并成功利用物联网扩充了业务范围,这似乎是个抬高价格的好方法,只要你能管理好供应链,你的利润率也能随之提高。给闭路电视摄像机增加一个Wi-Fi芯片,就能在材料清单上增加3美元,因为嵌入芯片会增加设计和制造的难度,而这种摄像机的价格是传统的标准视频输出的摄像机的3~4倍。
然而,一个普通的门锁和一个需要联网打开的门锁之间有着很大的区别。后者运行了软件,而所有的软件都存在漏洞。有趣的是,就算程序本身没有漏洞,运行这一程序的操作系统也一定有漏洞。
这些漏洞意味着软件需要及时更新,而对一个联网设备来说,这些漏洞成了给黑客的邀请函。而对制造商来说,检查和更新软件的成本很大,并且他们的客户遍布全世界,如果不追踪设备,它们就会变成定时炸弹,被侵入是迟早的事,只不过是时间的问题。
从这个意义上来说,物联网的使用范围虽然很广泛,但它还是有潜在的巨大危险。
共享密码
设计过程的捷径也削弱了安全系数,例如给每个设备配相同的默认密码。当然可以给每个设备配独一无二的密码,但这也增加了成本,并且需要严格的质量保证测试。
管理员账户拥有统一的用户名和密码,可以远程控制设备,一般人很难将其关闭。用户可以选择一个很难猜的用户名和密码(当然,很多人并没有这么做),但是管理员账户依旧拥有一切权限。
这些设备就是微型的网络服务器,它们运行的软件可以与所有的网址通信,并配有摄像头或录像机。正如说明书中说的,你可以从地球上的任何地方远程控制你的设备。这对黑客也同样成立,如果他们能找到侵入的途径的话。
几年来,物联网设备的安全问题日益严重。例如,短短6年间,台湾超微电脑公司的收入增长了5倍,达20亿美元,其部分原因就在于强大的IPMI(智能平台管理接口)界面。它支持计算机系统管理员远程管理多个系统,甚至能重启系统。IPMI就像一个虚拟的人,它能够穿过控制室,在服务器里上下穿梭,并按下开关。这意味着,你可以远程控制服务器,如果管理人员离实际地点很远,这将节省大量的时间和金钱。
但即便是在2013年,人们依旧会对IPMI的安全性心存芥蒂,毕竟IPMI能独立于他们的控制,自行运行操作系统。
资深的安全分析师布鲁斯·施奈尔称,IPMI会成为“一个完美的间谍平台,无法控制,无法修补”。如果有人能破解IPMI的密码,他将能远程控制数十台、数百台甚至数千台服务器,让它们做自己想做的事情。
然后就会有人试图破解这些密码。
2013年11月,就职于CARI.net(旧金山的一家云托管服务商)的扎卡里·威克霍姆,在读过有关IPMI问题的几篇文章后,发现超微电脑公司创建了一个密码文件(叫PSBlock),它是以纯文本形式存储的,没有经过加密,任何人都可以通过49152端口访问这个密码文件。他告诉了超微这个漏洞,希望网站能发布固件更新。然而超微没有采取任何措施,于是在2014年6月,他公开了这个漏洞,当时的安全新闻网站对此进行了大范围报道。“在我写这篇文章的时候,公开市场上已经有31964个系统的密码被泄露了。”威克霍姆在博客上写道。在这些系统中,仍有3296个系统(约占10%)使用机器默认的密码。
“怪客户过分相信供应商吗?还是怪供应商是人类?”威克霍姆问道。他说,嵌入式平台需要更强的安全性。尽管他的博客内容可能威胁到了超微(他在博客中描述了寻找密码块的具体方法,包括使用的端口和搜索引擎),但他指出,现代搜索引擎专为查找物联网设备而设,例如Shodan(互联网上最可怕的搜索引擎,能够直接搜索到物联网所连接的所有设备),这意味着安全性能低的产品无异于暴露在互联网之下。
供应商提供未加密的密码文件,任何人都可以访问系统,在这种情况下,我们该如何保护自己呢?他的建议是,“随时了解情况,保持参与,按时更新设备固件”。但是某些设备的固件更新已经停止,也可能根本没有安装,或无法解决密钥安全漏洞。正如威克霍姆早些时候的博文提到的那样,他对超微公司的系统安全性失望,漏洞可以在新的更新中得到修补,“但通过访问物理内存来更新漏洞不是长远之计”。
显然,许多人的系统没有得到保护。就在威克霍姆推送了博客的同一个月,ProxyPipe公司租用威瑞信(Verisign)公司的《我的世界》DDOS保护服务,却遭到了一次300 Gbps的DDOS攻击。有报道称,这次攻击来自超级IPMI界面上的10万台设备组成的僵尸网络。
次月,超微半导体公司悄悄发布了一次固件更新。然而公司界面并没有提到纯文本访问密码的事,也没有固件更新的发布信息。
为了攻击《我的世界》的服务器,黑客建造出了更强大的物联网僵尸网络。另一个版本的Qbot僵尸网络出现在2014年年底,充分利用了9月份披露的一个代码中的重要漏洞,该漏洞存在于Unix操作系统中的“bash”命令程序,被称为Shellshock。通过向存储的文件中添加指令,黑客可以让服务器运行他的所有命令。几天内,人们又发现了几个相似的漏洞。检查源代码时,人们发现这个潜藏的漏洞出现于1989年9月,已经存在了25年,没有人发现它。又或许有人发现了,并暗加利用。尽管业余黑客喜欢吹嘘自己的发现,商业黑客和国家黑客却会小心翼翼地保护他们的发现。
Qbot就利用了Shellshock漏洞,它能够扫描IP地址,使用管理员的用户名登录系统,并会尝试约6个不同的密码。一旦成功破译密码,它会将一个小程序上传到服务器内存,并反馈给命令控制服务器,保证Qbot已经侵入该设备,随后试图寻找新的感染目标。
Qbot的迅速发展以及其他利用Shellshock漏洞攻击物联网设备的僵尸网络的扩大,引发了一系列问题。谁能更新那些上百万的被感染设备呢?这些设备的软件可能根本不会升级,或者制造商从来没有发布过更新数据。源代码的开放是否证实了埃里克·雷蒙德的主张,“只要花足够多的时间盯着代码看,所有的漏洞都很显而易见?”不像微软的Windows或者苹果的iOS,所有人都可以阅读源代码寻找bash,并且可以改进它。鉴于以上问题,公布那些任何人都可以利用的基本缺陷是明智的吗?
几个月后,Qbot的创建者意识到警察可能会找上门来。和现实世界中的罪犯不同,他们能逃脱的关键是藏好证据,尤其是他们用于犯罪的工具。而黑客则有另一种否定自己罪行的方法,早在2015年,就有黑客匿名在论坛上公布了自己的代码,很多人都能看到并下载这些代码。这就意味着,在电脑里保存一个代码副本并不构成犯罪。一些下载代码的人也会自行调整并使用。很快,就有多种版本的Qbot感染了物联网设备,并制造了更多的僵尸网络来骚扰服务器和站点。DDOS僵尸网络的主使者青睐物联网设备还有另一个原因,这些设备全天候24小时都连着网。并且这些设备本身没有强大的计算能力,对于黑客来说,发送一个用于DDOS攻击的互联网数据包至这些物联网设备并不是什么难事,他们随时都可以发起一次攻击。
从天而降的Mirai
Mirai继承了Qbot的特性,它还继承了NetSky、MyDoom、Storm与Srizbi这些病毒的特性,并且有取而代之之势。克雷布斯解释道:
换句话说,物联网僵尸网络在1年内拥有了计算机僵尸网络10年才能取得的进展。克雷布斯告诉我:
Mirai先强行抹除Qbot,再侵入系统,使用默认的远程登录用户名和密码登录,然后查找22、23端口(多用于文件传输,并且经常保持打开的状态)或者80端口(网络流量)。这些端口会被封锁,以防止再次感染Qbot。
一些使用了保护措施或者别的端口的Qbot僵尸网络逃过了一劫。现在,Mirai的编写者开始大展拳脚了,克雷布斯说:
关掉了控制器之后,Mirai就可以有恃无恐地攻击站点了。同时,网络安全行业也越发注意到物联网设备的安全威胁,并开始关注它的发展。
克雷布斯认为Mirai的创造者有两个目的:
9月中旬发布的3级通信分析报告表明,Mirai是一个由多部分组成的系统。僵尸设备准备发起攻击时,通过扫描网络以寻找新的感染目标,并将其IP地址发送至一个“报告”服务器中,然后运行“加载”程序,试图侵入目标设备,并指示它们下载Mirai恶意软件,成为新的僵尸设备。同时,控制僵尸网络的人使用了Tor匿名网络,能够隐藏服务器和与其联系的其他服务器的位置,并密切监视执行信息报告和命令控制的服务器。潜在客户只需支付费用,就可以使用其中的“隐藏”服务器,选择DDOS攻击的目标设备。
但是Mirai并没有自己的行事风格。报告也提到,它还攻击其他物联网僵尸网络,包括Qbot。Mirai与Qbot的操作方法类似,主要使用默认的用户名跟密码,利用手下控制的百万台设备进行攻击。9月中旬,Qbot对命令控制服务器进行了长达24小时的千兆级攻击。然而,服务器却没有被侵入。通常,命令控制服务器所依赖的公司能保护其不受DDOS攻击,可以通过代理服务器过滤原始网站和攻击者的恶意流量。
2016年夏天,Mirai做好了发起侵入的准备工作,一个拥有强大带宽的僵尸网络潜伏在设备中,其他人很难检查到它们运行的代码。9月20日,克雷布斯和一个DDOS保护服务提供者取得了联系,警告对方Mirai可能会侵入他的系统,对方显然不满克雷布斯在其网站上对他的嘲讽言论,因此无视了这一警告。也许和黑手党一样,提供保护的人也可能是造成问题的那个人。6小时后,Mirai的攻击得逞了。
几乎就在同一时间,法国托管公司OVH也遭到了Mirai僵尸网络的攻击,目标是《我的世界》的服务器。随后,为《我的世界》服务器提供合法保护服务的ProxyPipe也遭遇了数据海啸,阻止其继续提供托管服务。客户纷纷转移了业务,据ProxyPipe公司估计,这可能造成40万~50万美元的损失。ProxyPipe的所有者随后找到了为Mirai病毒提供网络服务器的供应商,并告诉他们Mirai病毒已经造成了巨大的损失。该供应商位于乌克兰,他们无视了这个警告,于是其他的互联网服务供应商黑入了这位乌克兰供应商的IP地址,将其系统设置成拒绝一切连接请求,这样僵尸网络就无法连接目标控制器了。原来的Mirai陷入了窘境,可这使问题变得更糟了。
9月30日,星期五,就在克雷布斯的网站遭遇大型攻击的10天后,Mirai的编写者投降了,但这或许只是一时示弱。在黑客论坛上,一个网名叫“安娜前辈”的资深用户声明他有一个猛料。他表明Mirai掌握了38万台僵尸设备,而在克雷布斯的网站遭遇DDOS攻击之后,很多人都注意到了自己设备中的问题,就是这些问题让自己的设备沦为僵尸设备。现在,僵尸网络掌握的设备数量缩小到了30万台左右,而且还在下降。所以,他发布了恶意软件的源代码和控制僵尸设备的客户端,并说明了如何将它运行到免费的文件托管服务器的工作程序中去。然后,程序很快被复制到了GitHub共享网站(著名的代码托管平台)上。
Qbot在黑客世界就是一个典型的例子。吸取了Qbot的经验,Mirai的编写者决定在被抓之前尽快离开。克雷布斯说,“参与这类活动的人们很容易被抓,不管他们的动机是什么,这类人的人格都十分脆弱、易怒,所以通常会犯一些错误暴露自己的行踪”。
一个黑客往往会长期使用一个身份,或者是好几个重叠的身份,这种模式通常会导致行踪的暴露。很多东西会暴露身份,任何线索都能帮助调查人员找到黑客。比如,Qbot中有两名成员被指控为黑客团队“蜥蜴小队”的创始人,他们于2016年10月被起诉,2个月后认罪。FBI在一起电话骚扰事件中捕捉到了蛛丝马迹,随后他们调查了更有利可图的几个网站,其中一个遭到了黑客的侵入,也泄露了所有黑客的个人信息。
在Mirai的案件中,僵尸网络的名字本身包含了编写者的线索。Mirai指的是一部日本系列动漫《未来日记》,故事讲的是一个男孩为了谋生,不得不参加类似《饥饿游戏》的生存战斗。黑客起的名字通常基于一些能引起共鸣的创意,不过大多数时候,恶意软件的名字都是安全公司根据黑客的行为或是代码中的一些注脚起的。
Mirai的作者却不落俗套,克雷布斯表示:
所以,到底发生了什么让僵尸网络的编写者放弃了它呢?克雷布斯认为Mirai的主人和Qbot一样,“一些证据表明是他们实施了DDOS攻击行为,因此他们不得不泄露源代码”。
他们放弃的理由和Qbot的作者类似,克雷布斯说,“FBI调查了这起案件,并在国际上得到了很多帮助。我认为那些创建和发布僵尸网络的人们觉得,如果FBI找到了唯一的源代码副本的话,他们就完蛋了”。所以他们用黑客的方式毁灭了证据,把副本散发给每个人,而Mirai背后的真正黑客至今没有浮出水面。
释放出怪物
随着Mirai代码的发布,原始代码的编写者变得不再重要。现在,大家面临着一个更大的问题:创造大型物联网僵尸网络的方法公开之后,所有人都可以依法炮制,建立自己的僵尸网络。很多人在复制的同时,都做了些小改动。一个叫“MiraiAttacks”的推特账号基于每个人修改Mirai代码的微妙不同,统计出了300多个不同的僵尸网络。2016年10月底,也就是源代码发布近3周后,一股强大的数据风暴袭击了美国东海岸,没有人能判定其来源,动机也没法究明。这次规模比不上克雷布斯所遭遇的网络攻击,但其更具针对性。研究人员怀疑,这更像是一次排练,甚至是试错,而不是有意图的攻击。英国计算机安全研究员马库斯·哈钦斯在分析了这次攻击之后,在自己的博客上指出,“这些DDOS攻击吸引了很多人的注意,它已经成为世界媒体关注的焦点,也是跨国公司支持的多重执法调查的主要内容。但凡是想挣钱的人,都不会搞出这么大的动静”。
在写本书的时候,没有人因2016年10月21日的Mirai袭击而受到公开指控。研究网络风险的BitSight科技公司在攻击前后进行了抽样调查,估计迪恩公司在攻击后损失了8%的客户,但迪恩公司拒绝对该调查发表评论。
同样规模的攻击没有再次发生,不过在2016年11月初,一次使用Mirai的僵尸网络攻击瞄准了利比里亚的一家移动电信公司。然而,该公司早就制定了一项DDOS应对计划,于是在受到攻击之后很快恢复了网络。
2016年11月底,对于这次大范围的服务中断,德国的互联网服务供应商德国电信将其定性为“恶意劫持宽带客户路由器”。在网络服务供应商升级客户路由器的远程登录系统中,Mirai修改的代码造成了新的漏洞,而德国电信为台湾制造商转售的路由器提供了软件更新。2016年12月,英国网络服务供应商TalkTalk的2400台路由器遭到了劫持,用于向英国的比特币站点发动DDOS攻击,德国也出现了同样的案例。TalkTalk随后重启了路由器,修复了漏洞。没有黑客组织为此负责,并且攻击目标的多样化也预示了这是不同的组织做的。视线成功转移了,恶意代码源码上传者“安娜前辈”必是有意而为之。
顺藤摸瓜
同时,克雷布斯并没有放弃寻找Mirai的幕后主使。他仍在搜寻线索,试图找到背后的真相。他发现了《我的世界》、Qbot和Mirai之间的联系,并研究了众多《我的世界》的服务器供应商和提供DDOS保护服务的公司。奇怪的是,他们总是在一场大型DDOS攻击即将发生之前更新自己的服务。克雷布斯找到了一家负责提供DDOS保护服务的公司ProTraf。这家公司仅有两名员工,一位是19岁的约西亚·怀特,另一位是20岁的帕拉斯·杰哈。黑客论坛上有人声称,约西亚·怀特就是Qbot的作者。
克雷布斯接近怀特,问他关于Qbot的编写者的传言是否属实。怀特告诉克雷布斯,他确实参与了一部分,包括编写能在设备间传播的蠕虫代码,但并没有打算出售。另一个黑客威胁要人肉他,他不得已才公布了代码。
克雷布斯接着将焦点转移到了杰哈身上,他的领英个人资料上写着精通计算机语言。克雷布斯表示,“一个想法萦绕在我的心头,我曾在网上看过这些计算机语言的独特组合”。然后他意识到,这跟“安娜前辈”在黑客论坛上的声明完全一致。随后,他又发现了其他的蛛丝马迹,包括一个已删除的个人网站(以杰哈父亲的名义注册)和一个长期弃用的用户名“dreadiscool”,里面写了一些杰哈喜欢的日本动漫电影,其中就有一部叫《未来日记》(罗马音:Mirai Nikki),和僵尸网络的名字一模一样。
ProxyPipe的一名员工注意到,Mirai的代码与这个叫dreadiscool的账户发布的代码有很多相似之处。
克雷布斯继续跟进这条线索,这次指向了一个脸书账号,其主人于2015年开始在新泽西州的罗格斯大学就读计算机工程。这又与杰哈的经历不谋而合。
奇怪的是,罗格斯大学从2015年秋天开始就接连遭受DDOS攻击,匿名攻击者不断要求其购买DDOS保护服务。
克雷布斯还收到了来自ProTraf公司的前员工阿马尔·朱伯的消息。他表示,在2016年11月底,杰哈曾给他看过一条FBI特工调查Mirai的消息。杰哈说他成功误导了那个FBI特工,让他陷入了无厘头的调查之中。
黑客论坛网站自2010年成立以来,一直受到FBI的密切注意。在黑客论坛公开代码之前,只要在杰哈的电脑上找到Mirai的代码,就足以让警方逮捕他了。但是随着代码的公开,源头的取证变得更加艰难了。
2017年1月,克雷布斯发布了一篇长博文,里面包含了他的调查以及他对Mirai代码和僵尸网络幕后黑手的猜测。他联系了杰哈,指出他多个账号之间的关联以及时间上的巧合,询问他是否与Mirai有关。2017年1月19日,杰哈否认自己曾编写Mirai并攻击罗格斯大学。他告诉克雷布斯,“我认为没有足够的证据可以指控我”。
2017年1月20日,新闻网站NewJersey.com也报道了FBI曾多次与杰哈接触的进展。杰哈的父亲认为,“我知道他有多大的能耐,他做不到你们写的这些事情”。杰哈的律师也表示他并没有被起诉,并且克雷布斯的证据有好多处逻辑漏洞,但这确实影响到了杰哈。
之后,事情却发生了反转。2007年12月13日,美国司法部门收到了Mirai的编写者写下的两封认罪书。一封来自约西亚·怀特,另一封来自帕拉斯·杰哈。他们承认创建、使用和发布了Mirai源代码,杰哈同时承认了自己对罗格斯大学发起了数次DDOS攻击。没有人知道这期间发生了什么。
此外,怀特和杰哈(还有另一名参与者道尔顿·诺曼)也承认他们在公布Mirai源代码之后,组织了另一种形式的僵尸网络—一个包含了10万台物联网设备的欺诈系统。该系统能自动点击广告,像人一样智能,比人还要可靠,从而赚取网站广告的费用。如果被判最高刑罚,这三人将面临多年的监禁。显然,杰哈没能如愿转移FBI特工的视线,最终还是暴露了自己。
不完美的未来
Mirai事件是否画上了句号?克雷布斯对此并不乐观:
克雷布斯谈起自己最近买了一台很贵的家用监控摄像头,并研究它是否有对网络开放的端口。然后他从制造商那里得到了一份如何加强安全系数的指南,“它大概有24页,教我怎么关掉这些联网的功能。为什么你们不能一开始把这些功能关掉,再教用户如何打开?”制造商告诉他,“因为那很麻烦,顾客不会喜欢的”。克雷布斯还指出了福斯康姆公司的摄像头也存在同样的问题,它会默认运行一个ThroughTek提供的P2P软件,这个软件会试图与其他的福斯康姆摄像头建立网络连接。这无疑是对黑客的公开邀请,只要感染了一台福斯康姆的摄像头,就能感染全部摄像头。在设置里可以禁用P2P连接,但是这一功能却不能关掉。而在一部分顾客在福斯康姆的论坛上抗议之后,公司才发布了能关闭P2P功能的固件补丁,但这个补丁也不是默认启动的。自2013年11月此问题被首次报道以来,直到2016年7月,P2P的修复补丁才正式问世。
P2P功能究竟有什么用呢?福斯康姆公司告诉克雷布斯,它能定位控制摄像头的(用户的)服务器,并在两台摄像头间建立虚拟专用网络(VPN);如果定位失败,摄像头的数据就会被破解,并传输到福斯康姆的服务器上。
尽管没有直接证据证明福斯康姆的摄像头被黑了,但是,让福斯康姆成为全世界摄像头的通信纽带,这一模式显然不安全。大多数人买摄像头的时候,都只知道自己可以随时随地登录自己的摄像头,但并不知道它还做了什么。大多数人并不知道固件更新的存在,那些知道固件更新的用户也只知道固件更新很容易出错,而且会损坏设备。固件会在开机时开启设备的低级功能,这个时候如果转录程序或编码中出现任何错误,都会阻止设备启动。但如果设备无法启动,就无法修正固件。因此,除非它们增加了一些实质性功能,否则很多人就算知道有固件升级,也会将其忽略掉。只要设备没有出问题,用户就不会修复它。并且在大多数情况下,用户根本没有意识到自己设备的问题以及它有多难修复。
一旦开始留心物联网设备的安全漏洞,你就会发现例子比比皆是。2017年2月,一名英国黑客成功让世界各地的15万台打印机打印ASCII艺术,他通过Xerox网络接口上的远程代码执行错误来控制打印机,让打印机也成为僵尸网络的一部分。该代码编写者在Motherboard网站上说,“老实说,在不需要用的时候,大家最好把打印机的网络连接关掉”,而他已经在打印输出上证明了这一点。其实那些设备并不是僵尸网络的一部分,他只是想通过这个事件引起众人的注意。
这个英国黑客模糊了自己的年龄,他的推特账号的个人资料写的是23岁,但他却对记者说自己不到18岁。他说自己从2015年就开始“清理物联网的烂摊子”,直到Mirai的出现,大家才意识到了问题。
和克雷布斯一样,他对未来也并不乐观。他指出了一种商业模式:一家公司出售了设备之后,另一家公司则可以制作并编码该设备。做盗版的多是些“粗制滥造的制造商”,“我无意贬低谁,但他们的代码真的很有问题,很多联网设备都有多个后门”。
然而,物联网的问题似乎无法完全杜绝。当我向F-Secure公司的首席研究官米科·海坡能提起Mirai事件时,他问我,“你去过宜家吗?”
海坡能的朋友在里面找到了一个自定义的实时操作系统,TCP(传输控制协议)端口是默认关闭的,只接受有宜家数字签名的数据流量,整个系统没什么需要改进的。“我实际上吃了一惊,”海坡能惊呼,“哇!宜家在确保物联网安全的道路上领先太多了。”
海坡能跟宜家进行了沟通,了解到该公司招募了一批世界级的安全研究人员,其中一名员工曾负责诺基亚一项已停用的业务的安全工作。
为什么以销售低价家居用品闻名的宜家会研究安全问题,并愿意花钱制造一个安全的物联网产品呢?海坡能再次发问。
此外,克雷布斯对青少年的担忧从来不是空穴来风。2017年9月,NewSky安全公司的安吉·阿努哈夫说他在8月发现了一个叫“Daddyhackingteam”的数据转储站点,该站点暗示了他们正试图建立一个Mirai驱动的闭路电视摄像头僵尸网络。NewSky公司很快在该站点发现了病毒代码,包括在已被感染的系统上的其他67个僵尸网络的名字,很多代码都经过了备份。
站点的主人还发布了一条招聘信息,寻找一位编写PHP语言和搭建网站的员工。
“我已经辍学2~3周了,每天在线时间有15~18个小时。”阿努哈夫以黑客的名义接近他,才知道他只有13岁。但是,发布僵尸网络的代码不是违法的吗?这名黑客坚信自己没事,因为他尚未成年,他不会被起诉。“用僵尸网络攻击物联网设备是未成年人合法的游戏。”阿努哈夫总结道。
度过风暴
Mirai是互联网大气候中不稳定的因素。和真实的气候不同,互联网更为复杂,也更具活力(更多具有不同功能和安全系数的设备会连上网络),同时也会发生更具破坏性、更难以预测的事件。唯一可以预见的是,事态往往会变得很糟糕。
在Mirai造成互联网的大范围崩溃的1年多前,克雷布斯开始研究另一个物联网恶意软件。它叫Reaper(也叫物联网ROOP),以色列相关安全公司认为该恶意软件感染了100多万家公司,其中就有以制造路由器闻名的Linksys、D-Link和Netgear。和Mirai一样,Reaper也是网络蠕虫,能够在设备间扩散,而这些设备包括联网摄像头和路由器。
是谁控制了Reaper僵尸网络?目的是什么?恐怕只有它的编写者才知道。同时,其他人只有在网络崩溃的那一刻,才知道一场新的网络攻击已经发生,但其目的和范围却仍然不为人知。“很多人认为一次大规模的Mirai攻击能够唤醒所有人的警觉,人们会开始关注物联网的安全问题。”但是回忆起他和众多受害者的对话,海坡能对此并不乐观,“只有DDOS的受害者才会有所警觉。而其他人呢?他们不在乎,也不会花钱去修复设备。”
研究公司高德纳(Gartner)在2015年11月预测,2016年将有64亿部物联网设备投入使用,2020年这一数量将增至210亿部,设备的平均价格将在5年内下降,而人们似乎也不会花钱去阻止自己家的热泵攻击DNS服务器。
物联网商业模式的安全性不高。使用便宜的物联网设备所产生的利润,往往不能满足编写安全软件并更新软件的需求。
确保自己的设备不会直接访问开放的网络。如果你要使用物联网设备,必须时刻保持警惕,并不断增强其安全性。
监控自己的电子设备的网络流量。有时,你的设备会在你不知情的情况下连接上供应商的服务器。
设备需要及时更新。更新的过程十分缓慢,有时可能要给制造商带来点麻烦,他们才会更新设备版本。
物联网设备目前最大的威胁来自僵尸网络(控制大量僵尸设备共同行动),但随着时间的推移,一些更微小的威胁也可能浮出水面。多注意黑客论坛和安全研究员的博客,他们会发布最新的安全漏洞信息,这比正式的安全公报要有用。
多名专家指出,物联网设备或成为未来最大的威胁。物联网设备覆盖广泛,很难进行安全升级,基础设施容易受到潜在的破坏,并且数据本身也可能遭到破坏。
物联网可以被远程控制并获得反馈,这能带来巨大的利益。商业利润固然重要,系统安全也同样重要。