第1章 向网络犯罪宣战

Parasite

你的邮箱是否经常塞满垃圾邮件?可曾想过这些垃圾邮件为何会进入你的收件箱?而点击邮件中的推销广告后,电脑运行速度却变得越来越慢?只要受到廉价商品的诱惑开始购买垃圾邮件中推销的商品,你的个人信息就会被神不知鬼不觉得收集起来!

深度剖析僵尸网络

莫斯科闹市区,一辆深蓝色宝马 760缓缓驶过某十字路口的斑马线;另一辆黑色保时捷卡宴与它并排停下。正值 2007年 9月 2日下午两点,苏哈列夫广场旁往常拥堵不堪的街道却稍显冷清,只有稀稀落落的游客和本地居民在两旁宽阔的人行道上信步闲逛。条条街道沐浴在午后尚有余温的阳光下,古旧建筑也开始竞相投射出长长的阴影。

宝马车驾驶员是本地臭名昭著的网络诈骗专家,黑客名为恰克。那一天,恰克初为人父,他刚刚和车上的乘客痛饮伏特加,来庆祝人生中这一重大时刻。此时天时地利具备,他准备和保时捷驾驶员一较高下。二人心照不宣同时发动引擎,准备在这直道上短短地赛一程,终点就是前方的城市广场。

交通信号灯转绿之际,橡胶轮胎与水泥路面摩擦的刺耳声迅速传到数百米外的广场之上。路人纷纷停下脚步,转身回望。两辆车如离弦之箭冲出十字路口,争先恐后冲向终点。

正以超过 200公里时速掠过赛程中点的宝马车却突然失去控制,与保时捷发生侧撞,之后一头斜插到路边的灯柱上。比赛瞬间结束,不过双方都不是赢家。宝马被灯柱切成两半,保时捷也变成一堆废铁,在旁边静静地燃烧着。两辆车的司机爬了出来,一瘸一拐地逃离事故现场。但宝马车上的乘客却惨遭不幸:一位名为尼古拉 ·马克罗的 23岁青年当场死亡。他就职于一家互联网公司,前途无量,此时却被压在这辆报废的豪车之下,身首异处。

被朋友们称为柯里亚的尼古拉 ·马克罗其实在互联网犯罪圈子中小有名气,他还是家族企业马克罗互联网公司(与他的姓氏相同)史上最年轻的员工。当全世界的执法机关如梦初醒,开始意识到有组织的网络犯罪正在对众多金融机构和企业组织造成威胁时,马克罗互联网公司早就在这个法律真空地带赚足了名声:网络骗子们可以租用马克罗互联网公司的服务器放心大胆地开立商铺、尽情投资、构筑阴谋,根本不必担心国外执法机关找自己的麻烦。

就在柯里亚殒命之时,世界上通过“机器人网络”发送垃圾邮件的肮脏生意正如火如荼地进行,而像马克罗互联网公司之流的虚拟主机运营商就是这些生意的最大母巢。遭到黑客攻击或被恶意软件 ①侵染的个人电脑群组往往被冠以僵尸网络 ②之名,能够为黑客们提供远程操作的便利。通常,这些电脑的主人就算被征用为“傀儡”也会浑然不觉。

在马克罗互联网公司操控之下的僵尸网络每天都会向外辐射数以千万计的垃圾邮件,封堵电脑用户的邮箱和垃圾邮件过滤器。不过,马克罗互联网公司的服务器却不会编写、发送任何垃圾邮件,否则便会吸引网络警察和西方执法机构的注意,成为众矢之的。相反,它仅会利用僵尸主控机远程操控全球数以百万计的个人电脑,驱使它们成为喷吐垃圾邮件的傀儡机 ①。

①恶意软件,指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序。

②僵尸网络,指采用各种传播手段使大量主机感染 bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。

当医护人员清理了车祸现场后,这血腥的场面就被人上传到他的朋友及客户频繁造访的俄罗斯网上论坛。率先上传柯里亚死讯的是来自 Crutop.nu的用户。 Crutop.nu是一个坐拥 8 000余名会员的俄语黑客论坛,豢养着垃圾邮件界臭名昭著的巨头们。 Crutop.nu中的部分成员是马克罗互联网公司虚拟主机的忠实客户,他们在互联网上宣布了柯里亚的死讯,其中包括文字信息和图片文件。很多人还自发(或是在论坛管理员的奚落下良心发现)担负了柯里亚的丧葬费和家庭赡养费。这在当时算得上是网络犯罪界的一件大事。

数天后,莫斯科一群制造电子垃圾的乌合之众前往柯里亚的葬礼吊唁。葬礼在柯里亚 23年前出生时受洗的教堂举行。吊唁者包括当今世界最大的垃圾邮件制造者,也是本书的两个关键人物: SpamIt和 GlavMed的共同管理员, “Desp”伊戈尔 ·古谢夫以及“圣徒 D”德米特里 ·斯图平。

前去扶灵的还包括德米特里 ·奈奇伍德,此人也是一名黑客,绰号“古格 ”,当年 25岁,是 Cutwail僵尸网络的核心成员之一。 Cutwail堪称网络犯罪界的大杀器,曾在全世界内感染,并且暗中操控数以千万计的家庭计算机,代之发送海量垃圾邮件。奈奇伍德也借此牟取暴利,单是为 GlavMed和 SpamIt两家主顾捉刀,就能足不出户轻松赚取数百万美元。虽然主管职位几度易手,但时至今日, Cutwail仍是世界上规模最大且最为活跃的僵尸网络之一。现在它正由几位赫赫有名的人物管理维护。

①傀儡机,被黑客远程操控的机器。黑客通过黑客软件进行攻击,如果计算机被感染,病毒会在系统开一个后门,方便黑客在需要时对计算机进行控制。

在这起网络犯罪里程碑式的事件中,我们为什么要着重介绍以上三位人物?因为他们(柯里亚及其数以百计的同侪们)匠心独运的杰作将以一种怪异但却至关重要的方式影响着地球上每个人的日常生活——垃圾邮件。

毋庸争辩,垃圾邮件的出现确实推动了恶意软件(即每天攻击你和我以及所有人的家用电脑的恶意程序)的长足发展。通过垃圾邮件,黑客得以定位我们的身份,攻陷我们的安全防护机制,将我们的经济状况、家庭信息甚至社交圈子摸得一清二楚。作为网络世界的虚拟寄生虫,僵尸网络亟须殷切的护理和持续的“喂养”才能在技术上保持先进,从而领先杀毒工具和杀毒软件企业,即帮助家庭计算机杜绝网络侵害的企业。为了保持“宿主”旺盛的生命力,垃圾邮件制造者(或称为“僵尸主控机”,这两个术语可以互换)必须贡献出持之以恒的努力来传播“数字疾病”并辅以变异,借以寻求技术支持。由于杀毒程序能够清剿“宿主”中的恶意程序,僵尸网络运营商必须向新“宿主”发动持续攻击,夺得控制权,并探寻新途径,将以往的“宿主”再次拉下水。

为避开日益升级的杀毒软件以及垃圾邮件防御系统的围追堵截,这场技术上的军备竞赛需要不断开发、生产和分配隐蔽性极强的恶意软件。因此,黑客们通常会将垃圾邮件赋予“自保”属性。为了感染更多的计算机,喷吐老式垃圾邮件的僵尸网络通常会被用来散布包含新版恶意软件的电子邮件。另外,邮件制造者也会将一部分收入用于再投资,来开发破坏力更强、更加隐秘的恶意软件,借以攻破杀毒软件、防垃圾邮件软件以及防火墙的三重围剿。这种在技术和社会双重意义上的犯罪机器俨然已成为一个自给自足的生态系统。

迄今为止,传播海量“数字疾病”的网络罪犯已鲸吞了网络安保企业羽翼下的大片安全领土。杀毒软件企业曾做出过一份报告,声称他们平均每天要将 8.2万种新型恶意软件进行分类并予以查杀,而网络罪犯开发恶意软件的根本目的就是感染家用电脑,使之沦为傀儡机,以供网络犯罪者远程操纵。杀毒软件大鳄迈克菲( McAfee)也曾发表声明,仅在 2013年第一季度,该公司就检测出 1 400万种新型恶意软件。

不过对垃圾邮件制造者来说,这样一套生态系统造价不菲。以 Cutwail为例,系统的维护需要软件开发以及技术支持团队 7×24小时连轴运转。像 Cutwail这样的大型僵尸网络通常都会承担一些外包业务,而承租者(即其他垃圾邮件制造者)为了满足犯罪目的,经常会要求进行代码调整或开发附加组件以维持僵尸程序正常运转。

伊戈尔 ·维什涅夫斯基是莫斯科人。他 30多岁时,正在为 Cutwail效力,也是奈奇伍德的亲密战友,在黑客界声名煊赫。不过后来维什涅夫斯基决定开创自己的事业,开发了一个新系统与 Cutwail分庭抗礼,喷吐垃圾邮件、承接外包生意。在本书中,他成为我们的导游,带领我们探索邮件制造者构筑的庞大、神秘又不为人知的地下世界。在一次即时消息会话中,维什涅夫斯基曾提道:“我们为了支持古格(即奈奇伍德,他的绰号与 Google的读音有异曲同工之妙),曾为他单独设立一间办公室,并提供编码员和其他技术支持。有时候我会去拜访他,但从不在那里工作。”据他讲,为满足客户的需求,古格的办公室雇佣了至少 5名全天候待命的编码员,还有更多的技术人员轮班工作,连周末也不休假。

诸如马克罗互联网公司之类的虚拟主机运营商之所以要招揽Cutwail这样的客户,是因为在网上频繁抛头露面会引起麻烦:境内外的执法机关一直在虎视眈眈,以求将它代理的非法网站连根拔起。

据维什涅夫斯基称,马克罗互联网公司的服务器一直高速稳定。它丝毫不惧其他互联网服务提供商 ①和执法机关的关闭请求,这种“防弹”属性已被尊为业内传奇。

柯里亚去世后不久,马克罗互联网公司便雷厉风行地向与其合作的网络犯罪团体保证,即使组织内部声名在外的核心成员不幸殒命,虚拟主机运营商依旧能够照常运营。柯里亚的搭档阿列克谢在事发后也立即到俄罗斯国内顶尖网络犯罪论坛上发布相关信息,信誓旦旦地向老客户们承诺,这起事件并不会影响马克罗继续提供贴心的服务。

事实上,马克罗互联网公司互联网公司即使不费唇舌,这些网络犯罪团体依旧会对它不离不弃。马克罗互联网公司的主机扎根于美国,它们提供的服务更加廉价高速、值得信赖。在柯里亚丧命一年后,奈奇伍德和其他僵尸主控机商仍然将主控服务器安扎在马克罗互联网公司。

不过这都是过去式了。 2008年 11月 11日,《华盛顿邮报》(Washington Post)集中曝光了托管服务提供商(虚拟主机运营商)的种种恶意网络活动,马克罗互联网公司的两大网络连接供应商快速与其划清界限。转瞬之间,全球范围内垃圾邮件的数量下降了 75%,成百上千万的僵尸网络切断了与马克罗互联网公司主控服务器的联系,它们就像失去牧羊人的羊群一样,四散奔逃。

①互联网服务提供商(Internet Service Provider,简称 ISP)即指提供互联网服务的公司,通常大型电讯公司都会兼任互联网供应者。

马克罗帝国的崩塌重创了像奈奇伍德和维什涅夫斯基这种僵尸主控机商的财力。租用僵尸网络的邮件制造者纷纷倒戈,一边涌向 Crutop.nu和其他地下诈骗论坛,一边愤愤不平地抱怨着自己失去了数量可观的投资。未来竟如此渺茫,业界一片愁云惨淡。

“在与马克罗互联网公司合作的时候,我们托管的服务器位于美国,速度非常快。”维什涅夫斯基回忆道,“马克罗互联网公司倒台之后,我们只能租赁其他国家的服务器,速度就慢多了”。说这话的时候,他牢骚满腹。

即便是在柯里亚去世之后,也很少有人能预料到马克罗互联网公司会倒台;数量众多的邮件制造商曾将他们运营中最重要,也是最昂贵的资源——海量电子邮件地址列表挂靠在马克罗互联网公司的服务器上。

“所有商家的邮件列表全军覆没。”维什涅夫斯基说道,并宣称在马克罗互联网公司倒台后,他和奈奇伍德共计丢失了多达 200万个邮件地址,损失惨重。

柯里亚之死和马克罗帝国的分崩离析成为网络犯罪界的一座分水岭,垃圾邮件制造商和网络犯罪巨头们逍遥法外的时代宣告终结。事发之前,世界范围内流通的邮件中, 90%都是不请自来的垃圾邮件,其中绝大部分都在宣传网络药店。在接下来的 4年里,大批流氓互联网服务经营商、主机托管供应商(虚拟主机运营商)和大型僵尸网络相继倒台,全世界范围内垃圾邮件数量骤减。与此同时,大量顶级邮件制造者被捕,锒铛入狱。

不过,马克罗互联网公司的颓倒也标志着一个新时代曙光的到来。网络犯罪界和网络安保界不约而同地将这场旷日持久、代价不菲的地盘争夺战称为“售药联盟之战”。在这场战役中,两家医药垃圾邮件的赞助商大打出手,而像你我这样无辜的网络用户则陷入双方共同浇筑的泥淖之中,进退两难。

赞助商之一是前文中提到的德米特里 ·斯图平、伊戈尔 ·古谢夫及其在制药业的运营商合作伙伴 GlavMed和 SpamIt。与之相对的另一方为莫斯科人巴维尔 ·弗卢勃列夫斯基创建的 Rx-Promotion。弗卢勃列夫斯基现年 35岁,曾是古谢夫的合作伙伴。在公众视野里,弗卢勃列夫斯基是 ChronoPay①公司的高层管理人员。 ChronoPay是一家位于俄罗斯境内的网络交易公司,堪称业界翘楚,由弗卢勃列夫斯基和古谢夫联合创办。不过私下里,弗卢勃列夫斯基与网络犯罪地下世界却有撇不清的关系:他帮助网络罪犯窃取客户信用卡信息,以满足不可告人的目的,并且从中牟取暴利。同时,他也是极负盛名的垃圾邮件商论坛 Crutop.nu的协创者和管理者之一,是这场网络战争的关键人物。而这场战争会使我们陷入一个垃圾邮件帝国,更确切地说是垃圾邮件世界的笼罩之下。

信息安全,互联网金融消费者的痛点

到 2010年为止,我用了一年多的时间来调查和报道弗卢勃列夫斯基及其通过 Rx-Promotion与垃圾邮件制造商相互勾结所做的肮脏交易。起初我供职于《华盛顿邮报》,后来逐步建立了自己的网络安保网站: KrebsonSecurity.com。

① ChronoPay是欧洲著名的信用卡支付服务公司,成立于荷兰,其主要服务对象为欧美信用卡消费者,于 2009年进入中国市场。

但随着调查了解的逐步深入,我不再满足现状,我越发希望了解形成这个罪恶系统背后的动因,以及如何才能将其一举摧毁。很快我发现,一些志同道合的人也在相关研究。

在上文提到的双方进行角逐争霸之前,公众可以获得的相关信息寥寥无几,一些最基本的问题仍然亟待解决,其中包括:

◆什么人愿意花钱购买垃圾邮件中吹捧的商品?比如伟哥、处方药,甚至是古奇包?这种侵入性的商品营销究竟会吸引怎样的受众?

◆这些药品真的有效吗?或者是滥竽充数,甚至属于非法的次品?

◆垃圾邮件背后的受益方又是什么人?利益是如何被瓜分的,最终,钱又流向哪里?

◆为何世界上最富有、影响力最大的制药业,在面对自己商品、商标被盗窃以及客户流失时表现得如此疲软无力?

◆为什么在这种利用垃圾邮件明目张胆贩卖假药的生意中,消费者可以轻而易举地使用信用卡付款?

◆消费者通过邮件制造商购买商品后,其信用卡信息是否会遭到窃取或者变卖?如果他们没有购买又会怎样,也同样会有账户风险吗?

◆消费者、政策制定者以及执法机关面对日益猖獗的网络犯罪难道真的束手无策吗?

每当我向身边的人表达我要写书的愿望之后,他们总会向我提出诸如此类的问题。刚开始,我只能根据个人的猜想含糊回答。在向所谓的垃圾邮件专家请教之后,我依然发现,即便是世界上顶尖的专家也无法给出确切的答案。很多人仅仅向我提供了少量案例,而这些案例还是由大型制药产业或网络安保公司提供的。

在“售药联盟之战 ”中,我曾经从 Rx-Promotion和 GlavMed-SpamIt获取一些制药业垃圾邮件数据库的内幕信息,得以窥视世界上两大的垃圾邮件组织的全貌。不过讽刺的是,正是通过垃圾邮件制造商向我透露的这些信息,我才了解到,他们在灰色地带从事的肮脏营生怎样影响我们每天的生活。

为了向对手进行打击报复,分别隶属于古谢夫和弗卢勃列夫斯基两大阵营的黑客们向立法机关和我透露了许多信息。结果却适得其反,他们所提供的数据库正好帮助我窥探到隐藏在国际制药集团背后的网络犯罪日常运营机制以及盈利模式:这是一个由邮件制造者、病毒编写者、隐蔽的供应商和托管商组成的松散从属结构。这些数据库信息也为本书大部分章节的撰写提供了理论基础。

当然,更加重要也更令人担忧的是,我所得到的文件缓存中包含了大量消费者的人口、健康和财务信息,其中绝大部分人来自美国;只要受到垃圾邮件的教唆,开始在线搜索、通过垃圾邮件中提供的网址购买处方药品,那么消费者的个人信息都会被神不知鬼不觉地收集起来。

这些数据库直截了当地揭示了一个事实:在不为人知的暗处,民众对于廉价处方药的需求正在“蓬勃”发展,大多数的美国人都在积极搜寻价格“合理”的药物,但这一“优惠”却是建立在其他民众健康信息、身份信息、甚至是安全信息被泄露的前提之上。

垃圾邮件和网络安全攻击愈演愈烈,已经直接影响到消费者和企业的切身利益。正如 2013年 12月份我向媒体透露的那样,塔吉特( Target)公司信用卡数据库崩溃,黑客发起的网络攻击窃取了上百万美国消费者的财务信息,这起事件最终迫使许多民众更换新的信用卡。你可能会问,为什么政府、执法部门和企业本身不采取更加强硬有效的措施来杜绝网络犯罪和垃圾邮件的肆虐?

政府部门以及网络犯罪专家更倾向于借助技术以及执法机关的力量化解垃圾邮件的困扰,或者至少将其减轻到一个可控的程度,因此到目前为止,对于以燎原态势蔓延的恶意软件以及垃圾邮件,多数网络社区都采取消极的应对策略。因为垃圾邮件总是和伟哥或犀利士这类治疗男性性功能勃起障碍的药物成双成对地出现,许多消费者对垃圾邮件的反应往往一笑置之。人们通常都会认为,只要不打开这些邮件,不买里面的商品,我们的个人信息就会安然无恙。

这种态度凸显出一种普遍扎根于消费者心中的天真认知:我们低估了垃圾邮件带来的潜在威胁。也正是这种态度令僵尸网络在犯罪的道路上无往不利,毫不知情的程序员则成为滋养其不断发展壮大的帮凶。诚然, SpamIt和 Rx-Promotion的成员开发并管理僵尸网络的运营,其他垃圾邮件辅助程序并非只起到传播邮件的作用。僵尸网络能够凭借着被感染的终端机为犯罪分子们提供极多的登录途径,以躲避警方的追查。网络罪犯通常会租赁路径,借此隐藏真正的在线地址。

通常,网络罪犯会利用其运营的僵尸网络获取被感染电脑用户的登录名及密码,窃取个人信息,从网银证书到能够攻破大小企业网络安防机制的数字秘钥,不一而足。其实,世界上最活跃的僵尸网络“舵手”们已经在世界五百强企业中控制了数千台傀儡机,如此一来他们就能够“租用”企业中更强劲的服务器,向民众散发垃圾邮件;与此同时还将触须深入企业内部,窃取敏感信息及专有数据。

网络攻击:未来战争的中流砥柱

僵尸网络的危害绝不会止步于此。在一种高风险的互联网敲诈计划,即分布式拒绝服务攻击(简称 DDoS攻击)中,僵尸网络则充当网络罪犯的帮凶。在 DDoS攻击中,黑客首先向企业索要数万美元的“保护费”,一旦遭到拒绝,僵尸主控机商就会率领麾下被感染的计算机攻击目标企业网站,封堵流量,而合法的访问者则被拒之门外。被攻击的企业只有两种选择:要么乖乖交钱,要么保持离线状态,直到攻击者偃旗息鼓。当然,如果受害企业足够有钱,也可以雇佣反DDoS公司为自己解围。

DDoS攻击也可以用于处理“政治”及“意识形态”层面的问题;攻击者可以强迫整个国家“掉线”,令针对某些问题的抗议者暂时保持“缄默”。

2008年,出于政治动机,一场针对爱沙尼亚(前苏维埃联邦国家)政府的 DDoS攻击迫使政府网站下线数天之久,境内电子银行系统的服务中断数小时,该国境内最大的移动网络陷入瘫痪,爱沙尼亚国内处理紧急医疗事件的网络服务也被扰乱。

僵尸网络如此神奇的力量引起了美国政府和军方的注意。在现今以网络为主导的战争系统中,网络攻击者已经成为现阶段最有力的威胁之一。 2009年 5月份在白宫一场阶段性讲话中,奥巴马总统宣称:网络犯罪已经成为当今美国所面临的最严重的经济威胁和安全挑战。

公众的反应与美国政府的持续关注大相径庭:针对规模日益庞大的网络犯罪组织以及为泛滥的垃圾邮件提供强大动力的计算机技术,民众的态度依旧不冷不热,甚至在某些地区,还有人觉得事不关己。一场网络瘟疫正在肆虐,它的威力足够动摇整个国家的根基,降低通信网络能效,利用假冒伪劣的商品毒化民众,催生并滋养了非法金融业的发展。但世界上大部分国家的政府机构却依旧采取无作为的暧昧态度,置国民安危于不顾。

在美国和其他国家,许多立法机关正在利用铺天盖地的网络犯罪来游说警方以及联邦当局修改与收集民众敏感数据的相关法律。但针对网络犯罪更加严苛的刑罚却仍未能阻止黑客、垃圾邮件制造商和网络窃贼的肆虐。美国政府最近推出的大多数网络安全法案仅仅提到要增强基础信息设施(范围涉及制造业、污水处理设施及电力网络)的安全性,但言辞含混模糊,几为空谈。

最近,为了打击网络犯罪,美国政府拟制定多部相关法律,此举遭到隐私保护者以及广大民众的强烈抵制。国会曾试图通过一项法案,本意借此迫使互联网服务提供商终止与某些网站的链接,但随即遭到选民的反对。

据悉,这类网站一直在兜售盗版或假冒伪劣商品,有侵犯商标专利权的嫌疑。大多数抗议行为都在网上组织,并且巧妙地选择了网络游行的方式。

与此同时,和以往几次毫无实质性进展的立法闹剧相比,美国政府针对僵尸网络犯罪实施的几次重大抓捕以及打击性行动倒是卓有成效。正如本书中即将列举的案例所示,在全世界范围内,一些政府机构选择推进现有法令实施,通过加强国际合作满足国内实际需求,进一步扩大执法机关职权责范围的做法,反倒比推行新法令、加重量刑等措施更加有效。

但这并不意味着,政府行为才是攻克垃圾邮件及僵尸网络犯罪的不二法门。事实恰好相反,最行之有效的方法就是企业设法保护自己的经济利益、客户、商标专利以及公众形象,当然,消费者本身的努力也不可或缺。

总而言之,若未得到世界上最富有、最强大的利益团体的足够重视及协同合作,垃圾邮件和随之而来的弊病就会卷土重来。这些利益团体包括每天都活在网络犯罪阴影下的无辜受害者,比如像你我一样的普通人,也包括制药业、信用卡系统、银行部门、世界各地的立法机关、执法部门等金融企业和政府机构。趁着现在还不晚,我们必须采取行动,保护我们的隐私,保障我们银行账户的安全,挽救我们的家庭和生命。

上一章

读书导航