ITPub博客

首页 > IT基础架构 > 网络安全 > 22岁少年破解史上最严重网络攻击,拯救全球互联网,三个月后却被FBI逮捕

22岁少年破解史上最严重网络攻击,拯救全球互联网,三个月后却被FBI逮捕

原创 网络安全 作者:大数据文摘 时间:2020-05-21 15:16:01 0 删除 编辑

大数据文摘出品

来源:wired

编译:牛婉杨


2017年,一位名叫Marcus Hutchins的少年从有史以来最严重的网络攻击事件“WannaCry 勒索病毒”中拯救了互联网。


如果你是个geek,那么你对WannaCry这个名字一定不陌生, 这是一种可以自行传播的病毒软件,通过互联网散布到了世界的各个角落,摧毁了数十万台计算机中的数据。正是Hutchins找到并激活了其代码中隐藏的死亡开关,进而遏制了 WannaCry的进一步蔓延。


没想到,三个月后,这位拯救了互联网的天才少年却被戴上了手铐。


一开始Hutchins以为警察只是想了解自己在WannaCry上的工作,但当他们问到了一个名为“Kronos”的程序之后,他意识到,自己可能回不了家了。


天才少年误入歧途,帮助黑客银行诈骗


Marcus Hutchins从小就痴迷计算机,他与同龄人最大的不同是,Hutchins对计算机超乎寻常的兴趣和天分。


13岁生日时,Hutchins的父母同意给他买一台个人电脑,但他要求购买零件,自己组装。这台电脑很快就成了他的“宝贝”。

 


得到自己的计算机后不到一年,他开始浏览初级黑客网络论坛——一个致力于在当时流行的即时通信平台 MSN 上搞破坏的论坛。他对黑客有了初步的了解,在他眼中这些黑客“太酷了,编程居然能做这种事。”他也想这么做。


于是14岁那年,他在论坛上提交了自己做的一个简单的密码窃取软件。只要将其安装在某人的电脑上,它就能直接拉取受害者存储在 IE 浏览器中的网络账户的密码。


后来,Hutchins又在 HackForums 社区接触到了僵尸网络,即成百上千台会遵照该黑客的指令办事的被恶意软件感染的计算机。年仅15岁的Hutchins很快就在那个论坛上吹嘘自己运行着一个包含 8000 台计算机的僵尸网络,其中大多数都是他通过 BitTorrent上传的虚假文件劫持的。


不仅如此,Hutchins还开始了自己的事业。他开始租用服务器,然后以按月收费的方式向 HackForums 的成员出售网络托管服务。


在当时,他意识不到这些属于犯罪。


然后16岁那年,他遇到了令他陷入噩梦般生活的人——Vinny。


Vinny联系到了他,他给Hutchins的工作任务是:一个多功能且易于维护的 rootkit,以便他能在 Exploit.in 和 Dark0de 等比 HackForums 更加专业的黑客市场上进行销售。而且回报不是预付款,而是一半的销售利润。


他们将这款产品称为 UPAS Kit。


Vinny 不同于Hutchins曾遇到过的那些黑客,他更专业,口风更紧,从不谈论有关个人生活的任何细节。


但Hutchins却并未对自己的个人生活那么守口如瓶。于是 Vinny 要了Hutchins的地址和出生日期。他说要给Hutchins送一个生日礼物。Hutchins提供了这两个信息,但很快他就后悔了。


Hutchins 17 岁生日那天,一个包裹被邮寄到了他父母家,里面装着一包毒品。




9个月后,Hutchins完成了 UPAS Kit,并在 2012 年夏季将这款 rootkit 上市销售。Vinny 开始以比特币向Hutchins支付 UPAS Kit 的佣金,数额通常等值数千美元。


UPAS Kit 很成功,随后 Vinny要求Hutchins帮助开发 UPAS Kit 2.0。在新版本中, Vinny希望可以记录受害者键盘输入和监控受害者显示器的新功能。最重要的是,还有向受害者观看的页面注入虚假文本字段或其它内容的功能。


Hutchins说,最后这项要求让他感到不安。在他看来,注入虚假文本字段的目的很明确:银行诈骗。这在Hutchins看来是很严重的犯罪。


在过去几年中,Hutchins一直在网络犯罪的道路上小步前进,却不知不觉已经跨过了自己曾警惕的红线。他就这样一步步走向深渊,无法抗拒 Vinny 的要求,因为 Vinny 掌握着他大量的个人信息。


尽管如此,Hutchins还有一个选择——退出。然而这意味着他也不会再收到佣金。他将承受所有犯罪风险,同时没有任何回报。


他还是选择帮助 Vinny 继续维护银行恶意软件。


后来,Vinny改名为Kronos。最终,Kronos 成为了史上最臭名昭著的银行木马病毒之一。

 

成为拯救互联网的英雄,开始接纳自己“网络安全领域巨星”的身份


2017年5月12日中午,WannaCry 病毒首次出现在了英国皇家伦敦医院。


网络安全研究人员将这个蠕虫病毒命名为“WannaCry”,得名于其在加密文件时添加在文件名称后的 .wncry 扩展名。WannaCry 在加密计算机时还会使用名为 EternalBlue 的一套强力代码传播自身。EternalBlue 是由一组名为 Shadow Brokers 的黑客从国家安全局(NSA)窃取出来并公布在网络上的,老旧的 Windows 计算机很容易被其感染。


短短一个下午的时间,该病毒就破坏了将近 25 万台计算机的数据,预估损失在 40 亿-80 亿美元之间。而且情况似乎还将继续恶化。


当天下午2:30 左右,Hutchins坐回电脑前才看到这场互联网大灾难。


几分钟后,一个代号Kafeine的黑客朋友给Hutchins发送了WannaCry的代码副本。来不及吃午餐,Hutchins就开始剖析这些代码。


首先,他在隔离的虚拟机中运行了这个程序。然后很快他就注意到其在执行加密时会向一个看起来随机生成的网址发送一条查询信息:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。


很显然,这个病毒采用了“命令-控制”模式,即某个地方的服务器能给被感染的计算机发送控制指令。Hutchins将这个网址放到浏览器中,却发现根本没有网站。


因此他访问了域名注册商 Namecheap,在下午 3:08 用 10.69 美元注册了这个地址。Hutchins希望此举能从WannaCry创造者那里夺回部分受害计算机的控制权。或者他至少可通过 sinkholing(沉洞)技术获知受害计算机的数量和位置。


当Hutchins将这个域名定向到 Kryptos Logic 的一组服务器上后,就立马收到了全世界数千台新被感染的计算机的连接。Hutchins在 Twitter 上通报了这一信息,引起了世界各地的研究者、记者和系统管理者的关注。


下午 6:30,Hutchins的黑客朋友 Kafeine 分享了一条推文给他。这条让Hutchins感到惊讶的推文来自安全研究者 Darien Huss:“攻击失败,因为该域名已沉洞。”


换句话说,由于Hutchins的域名首先上线,因此 WannaCry 感染虽然还会继续,但并不会真正造成任何新的危害。这个蠕虫病毒似乎就这样失去功能了。


他从椅子上跳了起来,在卧室里开心地跳来跳去。然后他做了一件非同寻常的事:他上楼把这件事告诉了自己的家人。

 


转眼之间,他的推特粉丝就超过了10万。有在当地酒吧里认出他的人请他喝饮料,感谢他拯救了互联网,还有一家当地餐厅赠送了他一年的免费披萨。他的父母才终于知道儿子做了什么,并深深地为他感到骄傲。


但直到 WannaCry 爆发三个月后的 Defcon 大会,Hutchins才开始真正接受自己“网络安全领域巨星”的身份。


事过必留痕迹,犯下的错误终有一天要自食其果


警察终究找到了他



他确实运营过非法托管服务,维护过一个僵尸网络,写过恶意软件。但即便如此,仍然有很多人支持他。


但Hutchins却被自己的负罪感苦苦折磨,他甚至想过自杀。


审判他的法官已经77岁了,当了30年法官,却没有遇到一位像Hutchins一样的罪犯。


法官说他认为Hutchins是一位被定罪的罪犯,也是一位网络安全专家,而且在接受正义的裁决之前就已经走向了正途。法官权衡了监禁Hutchins的威慑价值以及这位年轻黑客的天才头脑的价值。最终,这位法官认为Hutchins值得完全特赦,但法院无权这么做。


最终,Hutchins被判一年的刑期,可狱外服刑。


他简直不敢相信。在首次被捕的两年之后,他获得了自由。


尽管如此,Hutchins的负罪感仍旧没有完全放下。但他终于可以将过去的一切放在身后,专注于自己的工作了。


Hutchins表示,“我不希望被贴上‘WannaCry’或‘Kronos’的标签,我只希望成为一个能对世界有所帮助的人。”


相关报道:

https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31562039/viewspace-2693535/,如需转载,请注明出处,否则将追究法律责任。

全部评论

注册时间:2018-11-13

  • 博文量
    323
  • 访问量
    243547