翻译|黑客哈钦斯(第二篇|重生)

文章来源:WIRED | 作者:Andy Greenberg | 题图:RAMONA ROSALES/WIRED

https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/

前言:原文很长,分为三个阶段,全文翻译过来有 24000+字。

PART 1-DESCENT:堕落

PART 2-RECOVERY:重生

PART 3-RECHONING:清算

为了便于阅读,将对全文拆解为三篇,对应每一个阶段,并划分了关键节点(本文为第二篇):

第一篇 | PART 1-DESCENT:堕落

1.1 被捕经过

1.2 初显黑客天赋

1.3 第一个恶意软件

1.4 开始自己的商业

1.5 客户找上门

第二篇 | PART 2-RECOVERY:重生

2.1 埋下隐患

2.2 戒掉药物依赖

2.3 进入网络安全领域

2.4 阻止 Mirai

2.5 拯救互联网

2.6 身份暴露

第三篇 | PART 3-RECHONING:清算

3.1 这和 WannaCry 无关

3.2 一对夫妇

3.3 愧疚感袭来

3.4 一份交易

3.5 宣判

3.6 忏悔及救赎


#2.1 埋下隐患

当哈钦斯 19 岁的时候,他的家人再次搬家,这次搬进了位于德文郡另一地区的维多利亚时代海滨度假小镇 Ilfracombe 的一座 18 世纪的四层楼房。哈钦斯住进了房子的地下室,可以使用自己的浴室和厨房,而厨房曾经是房子的仆人使用的。这种设置让他把自己与家人和世界的联系进一步切断。他比以往任何时候都要孤独。

当 Kronos 在 Exploit.in 上推出时,该恶意软件只是取得了不小的成功。该网站上的黑客社区主要是俄罗斯人,他们对文尼持怀疑态度,因为文尼不会说他们的语言,并将木马的价格定在了 7000 美元。和任何新软件一样,Kronos 也有需要修复的错误。客户要求不断的更新和新功能。所以哈钦斯的任务是在接下来的一年里不停地编码,现在期限很紧,愤怒的买家要求他满足他们。

为了跟上节奏,同时也为了完成大学最后一年的学业,哈钦斯急剧增加了安非他命的摄入量。他会服用足够的量,以达到他所描述的兴奋状态。他说,只有在这种状态下,他还能享受他的编程工作,并抵御他日益增长的恐惧。"每次听到警笛声,我都以为它是冲着我来的。"他说。用更多的兴奋剂来战胜这些念头,他会一连几天不睡觉,学习和编码,然后陷入焦虑和抑郁的状态,然后再连续 24 小时睡觉。

所有这些在狂躁的高点和悲惨的低点之间摇摆不定的情况,都对哈钦斯的判断力造成了影响——最明显的是他与另一位被他称为兰迪的网友的互动。

在 Kronos 发布后,当哈钦斯在一个名为 TrojanForge 的黑客论坛上遇到兰迪时,兰迪问哈钦斯是否愿意为他编写银行恶意软件。当哈钦斯拒绝后,兰迪转而请求他帮助开发一些企业和教育应用,他正试图将其作为合法业务推出。哈钦斯看到有办法用合法收入来洗白他的非法收入,于是同意了。

事实证明,兰迪是一位慷慨的赞助人。当哈钦斯告诉他,他没有 MacOS 机器来处理苹果应用程序时,兰迪问他的地址——哈钦斯再次提供了地址——兰迪给他寄来了一台新的 iMac 台式机作为礼物。后来,他问哈钦斯是否有一台 PlayStation 游戏机,这样他们就可以一起在线玩游戏了。当哈钦斯说他没有的时候,兰迪也给他寄了一台新的 PS4。

与文尼不同,兰迪对自己的个人生活很坦诚,令人耳目一新。随着他和哈钦斯的关系越来越近,他们会打电话甚至视频聊天,而不是通过哈钦斯已经习惯的面无表情的即时通讯进行互动。兰迪向哈钦斯描述了他的慈善目标,他如何用自己的利润资助慈善事业,比如为孩子们提供免费的编码教育项目,给哈钦斯留下了深刻的印象。哈钦斯感觉到,这些利润大部分来自于网络犯罪。但他开始将兰迪视为罗宾汉般的人物,他希望有朝一日能效仿这种模式。兰迪透露,他的总部在洛杉矶,那是一个阳光明媚的天堂,哈钦斯一直梦想着在那里生活。在某些时候,他们甚至谈到要搬到一起住,在南加州靠近海滩的房子里经营一家创业公司。

兰迪足够信任哈钦斯,当哈钦斯描述他的比特币日间交易技巧时,兰迪给他寄去了价值 1 万多美元的加密货币,让他代为交易。哈钦斯设置了自己的定制编码程序,用卖空来对冲他买入的比特币,保护他持有的比特币不受比特币剧烈波动的影响。兰迪要求他用同样的技术管理自己的资金。

2015 年夏天的一个早晨,哈钦斯在安非他命狂欢后醒来,发现夜间发生了电力故障。在比特币价格暴跌的同时,他所有的电脑都断电了,抹去了兰迪近 5000 美元的积蓄。哈钦斯还在接近吸毒痉挛周期的底部,他惊慌失措。

他说,他在网上找到了兰迪,当即承认赔了钱。但为了弥补损失,他向兰迪提出了一个补偿。哈钦斯透露,他是一个名为 Kronos 的银行 rootkit 的秘密作者。他知道兰迪过去一直在寻找银行诈骗恶意软件,于是向兰迪提供了一份免费的拷贝。一向善解人意的兰迪连声叫好。

这是哈钦斯第一次向其他人透露他在 Kronos 上的工作。当他第二天醒来时,头脑比较清醒,他知道自己犯了一个可怕的错误。坐在卧室里,他想到了之前几个月里兰迪如此随意地与他分享的所有个人信息,他意识到自己刚刚把自己最危险的秘密透露给了一个操作安全性存在严重缺陷的人。兰迪迟早会被执法部门抓住,而他很可能也会和警察一样坦然处之。

哈钦斯已经开始认为他最终因网络犯罪而被捕是不可避免的。但现在他似乎能看到联邦调查局已到门口了。"该死",哈钦斯心想。"这就是结局。"

插图:JANELLE BARONE

#2.2 戒掉药物依赖

当哈钦斯在 2015 年春天从大学毕业时,他觉得是时候戒掉他的安非他命习惯了。于是他决定冷血地戒掉。

起初,戒断症状只是让他陷入了之前多次经历的抑郁低谷。但几天后的一个晚上,当他独自一人在房间里观看英国青少年剧《滑铁卢路》时,他开始感觉到一种黑暗的感觉爬上了他的心头——他把这种感觉描述为一种 "即将到来的厄运 "的全方位感觉。从智力上来说,他知道自己没有身体上的危险。然而,"我的大脑告诉我,我快要死了,"他记得。

他没有告诉任何人。相反,他只是独自度过了戒断期,经历了他所描述的多日恐慌症。当文尼要求知道他为什么会延期他的 Kronos 工作时,哈钦斯说他还在忙于学校的事情,而不是承认他陷入了衰弱的焦虑中,这是更容易的。

但随着症状的加重,在随后的几周里,他的工作效率更加低下,他发现他那个凶险的生意伙伴似乎对他的困扰减少了。骂了几句之后,文尼就不再管他了。为 Kronos 支付的比特币佣金也停止了,随之而来的是将哈钦斯拉入网络罪犯生活中最黑暗的几年合作关系宣告结束。

在接下来的几个月里,哈钦斯除了躲在自己的房间里恢复之外,几乎没有其他的事情。他玩电子游戏,狂看《霹雳娇娃》。他很少离开家,只是偶尔去海里游泳,或者加入一群风暴追逐者,他们会聚集在伊尔弗拉科姆附近的悬崖上,观看 50-60 英尺高的海浪冲击岩石。哈钦斯记得,他很享受海浪让他感到的渺小,想象着海浪的原始力量如何能让他瞬间死亡。

花了几个月的时间,哈钦斯的末日感才减弱,即便如此,它也被一种间歇性的、根深蒂固的不安所取代。随着他的恢复,哈钦斯开始重新深入黑客世界。但他已经失去了对网络犯罪的兴趣。相反,他转而回到了2013年,在中学辍学到大学开学的这段时间里他创办的一个博客。

#2.3 进入网络安全领域

该网站名为 MalwareTech,这也是哈钦斯的笔名,他开始发表大量关于恶意软件技术细节的文章。博客剖析式的客观分析很快就吸引了黑帽和白帽的访问者。"这是一种中立的立场,"他说。"游戏的双方都喜欢它"。

有一次,他甚至写了一篇关于网络注入的深度分析,正是 Kronos 的功能让他如此焦虑。在其他更冒失的帖子中,他会指出竞争对手恶意软件的漏洞,让受害者的电脑被其他黑客霸占。很快,他就拥有了 1 万多名固定读者,他们似乎都不知道 MalwareTech 的见解源于他自己编写恶意软件的亲身实践。

在他康复后的几年里,哈钦斯开始逆向工程一些被称为 Kelihos 和 Necurs 的最大僵尸网络。但他很快就更进一步,意识到自己其实可以加入那些被劫持的机器群,从内部为读者分析它们。例如,Kelihos 僵尸网络被设计成从一台受害电脑向另一台电脑发送命令,而不是从中央服务器发送命令——这种点对点的架构旨在使僵尸网络更难攻克。但这意味着哈钦斯实际上可以编写自己的程序,模仿 Kelihos 恶意软件并 "说 "它的语言,并用它来监视僵尸网络的所有其他操作——只要他突破了僵尸网络设计者为防止这种窥探而设计的所有混淆。

利用这些稳定的情报流,哈钦斯建立了一个 Kelihos 僵尸网络 "追踪器",在一个公共网站上绘制出它在全球范围内捕获的数十万台电脑。不久之后,一位名叫尼诺(Salim Neino)的企业家,洛杉矶一家名为 Kryptos Logic 的小型网络安全公司的CEO,给 MalwareTech 发了邮件,询问这位匿名博主是否可以为他们做一些工作。该公司希望创建一个僵尸网络跟踪服务,如果受害者的 IP 地址出现在像 Kelihos 这样的黑客机器集合中,就会发出警报。

事实上,该公司已经要求其一名员工进入 Kelihos 内部,但这名工作人员告诉尼诺,逆向工程代码将花费太多时间。不知不觉中,哈钦斯已经解开了互联网上最难以捉摸的僵尸网络之一。

尼诺向哈钦斯提供了 1 万美元,让他为 Kryptos Logic 打造自己的 Kelihos 追踪器。在接到第一份工作的几周内,哈钦斯也为第二个僵尸网络建立了一个追踪器,一个更大更老的被黑客入侵的电脑的混合体,被称为 Sality。在那之后,Kryptos Logic 向哈钦斯发出了年薪六位数的工作邀请。当哈钦斯看到这个数字时,他认为尼诺一定是在开玩笑。"什么?"他记得自己在想。"你要每个月给我寄这么多钱?"

这比他作为网络犯罪恶意软件开发者的收入还要多。哈钦斯明白了现代网络安全行业的现实,但为时已晚:对于一个西方国家的天才黑客来说犯罪是没有报酬的。

在加入 Kryptos Logic 公司的最初几个月里,哈钦斯进入了一个又一个大规模的僵尸网络。Necurs,Dridex,Emotet——总共有数百万台电脑的僵死网络。即使他在 Kryptos 的新同事们认为一个僵尸网络是坚不可摧的,哈钦斯也会给他们一个惊喜,拿出一个新的僵尸代码样本,这通常是由他博客的读者分享给他的,或者由一个地下来源提供的。他一次又一次地解构程序,并且仍然在他位于伊尔弗拉科姆的卧室里工作——让公司获得新的僵尸机器群,追踪恶意软件的传播,并提醒黑客的受害者。

"在僵尸网络研究方面,他可能是当时世界上最好的人之一。到了第三或第四个月,我们在他的帮助下追踪了世界上所有主要的僵尸网络,"尼诺说。"他把我们带到了另一个层次。"

哈钦斯继续在他的 MalwareTech 博客和 Twitter 上详细介绍他的工作,在那里,他开始被认为是一个精英恶意软件爆料者。"说到底,他是个逆袭高手。"一个前 NSA 黑客,后来成为安全顾问的杰克·威廉姆斯(Jake Williams)说,大约在那个时候与 MalwareTech 聊天,并与他交换代码样本。"从原始的技术水平来看,他是脱胎换骨的。他可以和我在任何地方合作过的最好的一些人相比。" 然而除了他的 Kryptos Logic 同事和几个亲密的朋友之外,没有人知道 MalwareTech 的真实身份。他的数万名追随者中,大多数人和威廉姆斯一样,只认出他是哈钦斯用来作为 Twitter 头像的那只带着墨镜的波斯猫。

#2.4 阻止 Mirai

2016 年秋天,一种新型的僵尸网络出现了。一款名为 Mirai 的恶意软件已经开始感染所谓的物联网设备、无线路由器、数字视频录像机和安全摄像头,并将它们整合成庞大的群组,进而能够进行令人震惊的强大 DDoS 攻击。在此之前,有史以来最大规模的 DDoS 攻击都是以每秒几百千兆比特的流量对目标进行攻击。现在,受害者受到每秒 1TB 的攻击,巨大的垃圾流量洪流,可以摧毁路径上的任何东西。更糟糕的是,Mirai 的作者,一个名叫 Anna·Senpai 的黑客,在 HackForums 上发布了恶意软件的代码,邀请其他人制作自己的 Mirai 分支。

当年 9 月,一次 Mirai 攻击以每秒 600GB 的速度袭击了安全博客 Brian Krebs 的网站,使其网站瞬间瘫痪。不久之后,法国主机公司 OVH 在每秒 1.1TB 的洪流下倒下。10 月,另一波浪潮袭击了 Dyn 公司,该公司是域名系统服务器的供应商,它就像互联网的一种电话簿,将域名翻译成 IP 地址。当 Dyn 倒下时,亚马逊、Spotify、Netflix、PayPal 和 Reddit 的北美和欧洲部分地区的用户均无法使用。大约在同一时间,Mirai 攻击袭击了利比里亚大部分地区的主要电信供应商,使该国大部分地区失去了互联网。

一向喜欢追逐风暴的哈钦斯开始追踪 Mirai。他与一位 Kryptos Logic 的同事一起,挖出了 Mirai 的代码样本,并利用它们创建了渗透到 Mirai 僵尸网络的程序,拦截他们的命令,并创建了一个 Twitter,实时发布他们的攻击新闻。随后,在 2017 年 1 月,袭击利比里亚的同一个 Mirai 僵尸网络开始对英国最大的银行劳埃德银行(Lloyds)进行雨点般的网络攻击,这显然是一次敲诈活动,在一系列天内多次使该银行的网站瘫痪。

多亏了他的 Mirai 追踪器,哈钦斯可以看到是哪台服务器发出指令,在劳埃德进行僵尸网络的火力训练;看来这台机器被用来运行 DDoS 服务。而在该服务器上,他发现了管理该服务器的黑客的联系信息。哈钦斯很快在即时通讯服务 Jabber 上找到了他,其用户名为 "popopret"。

于是他要求黑客停止攻击。他告诉 popopret,他知道他自己并不直接对劳埃德的攻击负责,他只是在出售他的 Mirai 僵尸网络的访问权限。然后,哈钦斯给他发了一系列信息,其中包括劳埃德客户的 Twitter 帖子,他们的账户被锁定,其中一些人被困在外国没有钱。他还指出,银行在英国被指定为关键基础设施,这意味着如果攻击继续下去,英国情报部门很可能会追踪到僵尸网络管理员。

对银行的 DDoS 攻击结束了。一年多后,哈钦斯会在他的推特上讲述这个故事,并指出他并不惊讶黑客最终听从了理性。在他的推文中,哈钦斯罕见地暗示了自己的秘密过去——他知道坐在键盘后面的感觉,摆脱了互联网上无辜者的痛苦。

"在我的职业生涯中,我发现很少有人是真正的邪恶,大多数人只是与他们的行为影响脱节得太远,"他写道。"直到有人将他们重新联系起来。"

#2.5 拯救互联网

2017 年 5 月 12 日中午,就在哈钦斯开始难得的一周假期时,亨利·琼斯坐在东边 200 英里处的皇家伦敦医院(伦敦东北部的一家大型手术和创伤中心)的一间行政管理室里,他第一个看到了迹象。出大问题了。

琼斯是一位年轻的麻醉师,他要求 WIRED 不要使用他的真名,当时他正在医院食堂吃完咖喱鸡和薯条的午餐,试图在被叫回手术室之前查看他的电子邮件,他在手术室与一位更资深的同事换班。但他无法登录;电子邮件系统似乎已经瘫痪。他与房间里的其他医生分享了简短的集体抱怨,他们都习惯了整个国家卫生服务部门的计算机问题;毕竟,他们的个人电脑仍然在运行Windows XP,一个近20年的操作系统。"那是伦敦皇家医院的不同寻常的一天"他记得自己在想。

但就在这时,一位 IT 管理员走进房间,告诉工作人员,发生了更不寻常的事情。一种病毒似乎正在医院的网络中蔓延。房间里的一台电脑已经重新启动,现在琼斯可以看到,它显示出一个红色的屏幕,左上角有一个锁。"哎呀,你的文件已经被加密了!"它写道。在屏幕的底部,它要求用比特币支付300美元来解锁机器。

琼斯没有时间去琢磨这条信息,就被叫回了手术室。他擦了擦身子,戴上口罩和手套,重新进入手术室,那里的外科医生刚刚完成一个骨科手术。现在,琼斯的工作是再次唤醒病人。他开始慢慢地转动一个拨盘,渐渐地关闭输入病人肺部的七氟烷蒸汽,试图准确地确定这个过程的时间,使病人不会在他有机会拔掉呼吸管之前就醒来,但又不会昏迷太久而耽误下一次手术。

当他专注于这项任务时,他能听到外科医生和护士们在试图记录手术结果的笔记时表示失望。手术室的台式电脑似乎死机了。

琼斯唤醒病人后,擦身而过。但当他走进走廊时,外科手术室的经理拦住了他,告诉他今天剩下的所有病例都被取消了。一场网络攻击不仅袭击了整个医院的网络,还袭击了整个信托基金,是伦敦东部五家医院的集合。他们所有的电脑都瘫痪了。

琼斯感到震惊和隐隐的愤怒。这是一场针对多家 NHS 医院的协同网络攻击吗?由于没有病人可看,他在接下来的几个小时里无所事事,帮助 IT 人员拔掉伦敦皇家医院周围的电脑插头。但直到他开始在 iPhone 上关注新闻,他才知道损失的全部规模。这不是一个有针对性的攻击 而是一个在互联网上传播的自动蠕虫。在几个小时内,它袭击了 600 多个医生的办公室和诊所,导致 20,000 个预约被取消,并擦除了几十家医院的机器。在这些设施中,手术被取消,救护车从急诊室改道,有时迫使有生命危险的病人等待关键的几分钟或几个小时的护理。琼斯得出了一个严峻的结论。"因为这一点,人们可能已经死了。"

网络安全研究人员将该蠕虫命名为 WannaCry,因为它在加密文件名后添加了 .wncry 扩展名。当它瘫痪机器并要求其比特币赎金时,WannaCry 正在使用一个名为 EternalBlue 的强大代码从一台机器跳到另一台机器,该代码被一群称为影子经纪人的黑客从国家安全局窃取,并在一个月前泄露到公开互联网上。它立即允许黑客渗透并在任何未打补丁的 Windows 电脑上运行代码——潜在的目标可能有数百万之多。而现在,国家安全局的高精尖间谍工具已经被武器化,它似乎势必会在几小时内制造一场全球性的勒索软件大流行。

"这相当于观看车祸前的瞬间,"一位当时在英国电信公司工作、负责 NHS 事件响应的网络安全分析师说。"我们知道,就对人们生活的影响而言,这将是我们以前从未见过的。"

随着该蠕虫病毒在世界各地的传播,它感染了德国铁路公司 Deutsche Bahn、俄罗斯的 Sberbank、汽车制造商雷诺、日产和本田,中国的大学、印度的警察部门、西班牙电信公司Telefónica、联邦快递和波音公司。据一些人估计,在一个下午的时间里,它摧毁了近25万台计算机的数据,造成了40亿至80亿美元的损失。

Wannacry 似乎准备蔓延到美国的医疗系统。"如果这种情况集体发生,会死多少人?" 科曼记得自己在想:"我们最可怕的噩梦似乎要成真了。"

对于那些看着 WannaCry 扩散的人来说,似乎还有更多的痛苦要来。Josh ·Corman 当时是大西洋理事会专注于网络安全的研究员,他记得在 5 月 12 日下午,他与美国国土安全部、卫生和人类服务部、制药公司默克公司的代表以及美国医院的高管一起参加了一次电话会议。这个被称为 "医疗网络安全行业工作组 "的小组刚刚完成了一项分析,详细说明了美国医院严重缺乏 IT 安全人员的情况。现在,WannaCry 似乎准备向美国医疗系统蔓延,Corman 担心结果会比 NHS 更糟糕。"如果这种情况集体发生,会死多少人?"他记得自己在想。"我们最可怕的噩梦似乎要成真了。"

在那个周五下午 2 点半左右,马库斯·哈钦斯从伊尔弗拉康姆当地的鱼片店取完午餐回来,坐在电脑前,发现网络世界“着火了”。"我挑了一个该死的星期请假,"哈钦斯在 Twitter 上写道。

几分钟内,一位名叫 Kafeine 的黑客朋友给哈钦斯发来了一份 WannaCry 的代码,哈钦斯开始尝试剖析它,他的午餐还放在面前。首先,他在自己卧室里运行的服务器上开动了一台模拟电脑,并配上了供勒索软件加密的假文件,在那个隔离的测试环境中运行程序。他立即注意到,在加密诱饵文件之前,恶意软件向某个看起来非常随机的网址发出了查询:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

这让哈钦斯觉得很有意义,如果不是不寻常的话:当一个恶意软件回传到这种域名时,通常意味着它正在给某个可能被感染的计算机下达指令并和控制服务器进行通信。哈钦斯将那长长的网站字符串复制到他的网络浏览器中,结果惊讶地发现,根本没有这样的网站存在。

于是他访问了域名注册商 Namecheap,并在下午 3 点 08 分 4秒,以 10.69 美元的价格注册了那个不好看的网址。哈钦斯希望通过这样做,他或许能够从恶意软件的创造者手中窃取 WannaCry 的部分受害电脑的控制权。或者至少他可能会获得一个工具来监控被感染机器的数量和位置,恶意软件分析师称此举为 "沉没"。

果然,当哈钦斯在他的雇主 Kryptos Logic 公司托管的服务器集群上设置了那个域名后,它就被来自世界各地被 WannaCry 感染的每一台新电脑的成千上万的连接所轰炸。哈钦斯现在可以直接看到这次攻击的巨大的全球规模。当他在推特上发布他的工作时,他开始被其他研究人员、记者和系统管理员的数百封邮件所淹没,试图了解更多关于吞噬世界网络的瘟疫。通过他的“沉没”程序,哈钦斯现在突然拉到了地球上其他人都不具备的关于那些感染的信息。

在接下来的四个小时里,他回复了这些邮件,并疯狂地调试他正在建立的一张地图,以追踪全球范围内出现的新感染,就像他对 Kelihos、Necurs 和许多其他僵尸网络所做的那样。晚上 6 点半,也就是哈钦斯注册域名后的三个半小时左右,他的黑客朋友 Kafeine 给他发了一条由另一位安全研究人员 Darien Huss 发布的推特。

这条推文提出了一个简单扼要的声明,让哈钦斯感到震惊。"执行失败,现在域名已经被沉没了"

换句话说,自从哈钦斯的域名首次出现在网上后,WannaCry 的新感染一直在继续传播,但它们实际上并没有造成任何新的破坏。蠕虫似乎被终止了。

Huss 的推特中包含了一段 WannaCry 的代码,他对其进行了反向工程。代码的逻辑显示,在加密任何文件之前,恶意软件首先检查是否能到达哈钦斯的网站地址。如果不能,它就会继续破坏电脑的内容。如果它确实到达了那个地址,它就会直接停下脚步。(恶意软件分析家仍在争论该功能的目的是什么——它是作为一种反病毒逃避技术,还是其作者在蠕虫中内置的一种保障措施。)

哈钦斯没有找到恶意软件的命令和控制地址。他找到了它的自杀开关。他注册的域名可以让 WannaCry 在全球范围内简单地、立即地关闭它的伤害。好像他已经通过死亡之星的排气口发射了两个质子鱼雷,并射入了反应堆堆芯,炸毁了它,并保存了银河系,所有这些他都不知道在做什么,甚至没有注意到爆炸了三个半小时。

当哈钦斯明白自己做了什么时,他从椅子上跳起来,在卧室里跳来跳去,高兴得不得了。然后,他做了一件同样不寻常的事情:他上楼去告诉他的家人。

珍妮特·哈钦斯在当地一家医院当护士,今天放假。她在城里和朋友们叙旧,刚回到家就开始做晚饭。所以她对整个 NHS 的同事们所面临的危机只有一点感觉。这时她的儿子上楼来,有点不确定地告诉她,他似乎阻止了世界上有史以来最严重的恶意软件攻击。

“干得好,亲爱的”珍妮特-哈钦斯说。然后她又去切洋葱了。

插图:JANELLE BARONE

哈钦斯和他在 Kryptos Logic 的同事们又花了几个小时才明白,WannaCry 仍然是一个威胁。事实上,随着被阉割的蠕虫病毒的残余会继续传播,哈钦斯注册的域名仍然受到来自全球各被 WannaCry 感染的电脑连接轰炸。在接下来的两天,它将收到近 100 万连接。如果他们的网络域名下线,每一台试图访问该域名而失败的计算机都会被加密,WannaCry 的破坏浪潮将再次开始。"如果这次宕机,WannaCry 就会重新启动,"哈钦斯的老板尼诺记得自己意识到了这一点。"在 24 小时内,它会袭击世界上每一台脆弱的计算机。"

那个时候,问题就越来越多:第二天早上,哈钦斯注意到了一个新的洪流掺杂在 WannaCry 的流量中,击中了他们的程序。他很快意识到,他和他的 Kryptos 同事监测到的 Mirai 僵尸网络之一现在正在用 DDoS 攻击猛烈抨击这个域名——也许是为了报复他们追踪 Mirai 的工作,或者仅仅是出于一种虚无主义的欲望,想看着 WannaCry 烧毁互联网。"就好像我们是阿特拉斯,把世界扛在肩上,"尼诺说。"而现在有人同时在背后踢阿特拉斯。"

此后几天,攻击规模不断扩大,有可能使沉没域瘫痪。Kryptos 争分夺秒地过滤和吸收流量,将负载分散到亚马逊数据中心和法国主机公司 OVH 的服务器集合上。但几天后他们又得到了另一个”惊喜“,法国鲁贝市当地警方误以为他们的沉没域名被 WannaCry 背后的网络犯罪分子利用,从 OVH 数据中心查封了他们的两台服务器。在一周的时间里,哈钦斯连续睡眠时间不超过3个小时,他努力应对不断变化的攻击,并保持 WannaCry 自杀开关的完整。

#2.6 身份暴露

与此同时,媒体也在削除哈钦斯精心维护的匿名性。在 WannaCry 爆发两天后的一个周日上午,一名当地记者出现在哈钦斯位于 Ilfracombe 的家门口。记者的女儿曾和哈钦斯一起上学,她在 Facebook 上的一张照片中认出了他,照片标题中的名字是 MalwareTech。

很快,更多的记者按响了门铃,在他们家对面的停车场设点,并频繁打电话,以至于他的家人不再接电话。英国小报开始在头条上刊登这位从卧室里拯救世界的 "意外英雄 "的消息。哈钦斯不得不跳过后院的围墙,以躲避记者在他家门前盯梢。为了化解媒体的胃口,他同意接受美联社的一次采访,采访过程中,他非常紧张,以至于拼错了自己的姓氏,美联社不得不进行了更正。

在那混乱的最初几天里,哈钦斯一直处于紧张状态,期待着另一个版本的 WannaCry 来袭,毕竟,蠕虫背后的黑客可以轻易地对其进行调整,以消除其自杀开关,并推出续作。但这样的变异并没有发生。几天后,英国国家网络安全中心代表 Kryptos 主动联系了亚马逊,并帮助该公司商议了其数据中心的无限服务器容量。然后,在一周后,DDoS 缓解公司 Cloudflare 介入提供服务,吸收了任何僵尸网络投向自杀开关交换域的流量,结束了对峙。

当最糟糕的危险结束后,尼诺非常关心哈钦斯的健康,他将员工的部分奖金与强迫他休息挂钩。当哈钦斯终于上床睡觉时,也就是 WannaCry 袭击一周后,他每睡一小时就能得到 1000 多美元的报酬。

聚光灯让哈钦斯感到不舒服,但他的名气也带来了一些回报。他几乎在一夜之间获得了 10 万名 Twitter 粉丝。陌生人认出了他,在当地的酒吧里请他喝酒,感谢他拯救了互联网。当地一家餐厅为他提供了一年的免费披萨。他的父母,似乎终于理解了他所做的工作,并深深为他感到骄傲。

但只有在 WannaCry 事件发生近 3 个月后,每年 3 万人参加的拉斯维加斯黑客大会 Defcon 上,哈钦斯才真正让自己享受到网络安全界新的明星地位。为了避开那些不断要求与他自拍的粉丝,他和一群朋友通过 Airbnb 租下了一个房地产大亨在大道旁的豪宅,数百棵棕榈树围绕着城市中最大的私人游泳池。他们跳过了会议本身,与成群结队的黑客们一起参加研究讲座。相反,他们在放荡不羁的派对之间交替进行,充分利用城市的大麻药房和网络安全公司的豪华公开酒吧活动——充斥着各种豪华露天活动和荒唐的娱乐活动。

有一天,他们去了一个射击场,在那里,哈钦斯用手榴弹发射器和 M134 旋转机枪发射了数百发高口径子弹。在其他日子里,他们租了兰博基尼和科维特车,沿着拉斯维加斯大道,在城市周围的峡谷中奔驰。在哈钦斯最喜欢的乐队之一 Chainsmokers 的演出中,他脱光了内裤,跳进了舞台前的游泳池。有人从他留下的裤子里偷了他的钱包。他太高兴了,完全没有在意。

哈钦斯在 Kronos 上的工作已经过去了三年,且现在生活很好。他觉得自己像变了一个人。这颗冉冉升起的新星,终于允许自己——几乎是——开始放下自己的心结,不再担忧过去的网络犯罪经历。

然后,在他在拉斯维加斯的最后一个早晨,哈钦斯赤脚踏上了他租来的豪宅的车道,看到一辆黑色的 SUV 停在街对面。

(未完待续...)