第2章 互联网时代的虚拟“海盗巢穴”

Bulletproof

拥有些许不良爱好的你通常从何处寻找心仪的情色网站?而心满意足地观摩之后,你是否希望再度回味,进而购买一些影像制品?然而,对于这种灰色地带的生意,哪些金融组织会为其提供结算服务?网络泄密即缘于此:有组织的网络犯罪正在肆虐!

防弹主机进化史

若想了解垃圾邮件为我们带来何种威胁,就必须弄清在网络犯罪世界阴暗角落的重重黑影下,到底隐藏着什么骇人的东西。绑架、贿赂、敲诈、腐化,这便是最初的网络犯罪者惯用的“经商技巧”。他们共同搭建了一个网络犯罪的避风港——互联网时代的虚拟“海盗洞穴”。这些网络托管 ①业务多建立在俄罗斯境内,有些甚至可以追溯到苏联时代。网络托管服务商运用多种合法或非法措施获得“政治庇护”与运营支持以逃避法律制裁,所以他们通常被称为“防弹主机”或“刀枪不入的托管商”。外国政府和执法机关疲态尽显,网络托管服务商的影响力却日趋增强,他们在光天化日之下招摇过市,通过网络向顾客肆意兜售各种非法商品以及服务。

其中的佼佼者马克罗互联网公司深谙其中三味。尼古拉(第 1章中死于车祸的马克罗互联网公司年轻雇员)虽然并非这类网络犯罪的创始人,却和其他领域中的革新者一样,站在了“网络犯罪巨人”的肩膀上。他曾推出一系列措施提高公司运营效率,如精简中层冗员、压缩成本、降低价格,致力于建设更加高速稳定的网络,使这种历史悠久的商业模式不断优化、精炼。

①网络托管业务,指受用户委托,代管其自有或租用的国内网络元素或设备,也指为用户提供设备放置、网络运行、互联互通和其他网络应用的管理和维护服务。

最重要的是,马克罗互联网公司坚持推行“刀枪不入”的托管服务,以提供一流的技术服务和客户支持为企业目标,从而使自己傲立于业界巅峰。这些正是网络犯罪行业早期竞争者所忽视的问题,不过鉴于当时“寡头”分部的业内结构,这种忽视无可厚非。

然而,弄清楚马克罗互联网公司在地下网络犯罪界一家独大的原因却又十分必要,这有助于我们了解它的“前辈”是如何以及为何失败的。“刀枪不入”的托管服务为年轻的尼古拉打下事业的基石,且始终贯穿于两大网络犯罪巨头间旷日持久的仇恨之中。它为马克罗互联网公司的崛起、“售药联盟之战”以及网络犯罪行径的肆虐埋下伏笔。

到 2007年中期,作为互联网犯罪活动的中心,俄罗斯商业网络(以下简称 RBN,一个总部位于俄罗斯圣彼得堡的虚拟主机托管综合企业集团)在网络安保界“声誉卓著”,风光无限。在许多案件中,当计算机犯罪侦查员追查传播儿童色情和贩卖盗版软件的源头时,总能发现 RBN或多或少地牵扯其中。

网络侦探深入调查大肆传播计算机病毒、散发“钓鱼”邮件(即冒充银行,利用电子邮件诱导用户进入虚假银行网站以窃取其账号、密码的犯罪活动)网站时也会经常发现, RBN正是为犯罪分子提供网络服务的元凶。

RBN是早期提供“防弹主机”服务商的缩影。只要交纳数额高昂的托管费(价格增长时恕不另行通知),托管客户就能在这个虚拟的避风港内肆意展出、销售各种非法或恶意的网络产品。一个 RBN服务器的月租费用高达 600~ 800美元,比大多数合法托管商的收费高出 10倍多。不过这些收入并不会全数落入“防弹网站”服务商的口袋,他们只保留足以支撑公司运营的部分。通常,大部分收入由 RBN的首脑分子侵吞,经地方当局和腐化政客(以保证他们在面对本地或他国执法机关的询问时能三缄其口)的层层盘剥后,便所剩无几。

法国网络安全研究员大卫 ·毕祖曾在 2007年中期撰写了大量关于 RBN全盛时期的深度分析报告。他曾在文中提到, RBN设有专门处理恶意投诉的团队,它的存在令 RBN看上去更像是一个彻头彻尾的非法互联网服务提供商。

“为了树立一个受人尊敬的形象, RBN设立了一个专门处理恶意投诉的团队。这个团队会鼓励投诉客户提供俄罗斯司法部门出具的起诉申请书,用以处理其提出的服务器滥用或移除请求。”毕祖在 2007年的报告中写道,“当然,这种起诉书很难申请。 RBN根本就是网络骗子的天堂! ”RBN的起源至今还是个谜。可能也是出于这个原因,许多计算机安全领域的专家将最臭名昭著的互联网犯罪活动悉数归咎于 RBN的幕后黑手,虽然他们也不确定这些犯罪活动是否与 RBN有关系。

重塑色情行业规则

不过,若 RBN真的成了大多数人眼中的数字恶魔,就不会赢得如此辉煌美誉。从媒体报道以及熟悉该公司的消息人士提供的资料得知, RBN创立的初衷是为各种非法交易,特别是色情交易和儿童色情业提供稳定可靠的网络托管服务。实际上, RBN源于白俄罗斯明斯克的儿童色情业以及有组织的犯罪集团。新千年伊始,一名前途无量的 20岁白俄罗斯青年亚历山大 ·鲁巴斯基正准备继承父亲(一名效力于白俄罗斯警方的中校级警官)的事业,但他始终对计算机兴趣盎然并展示出娴熟的技艺,最终从警校辍学。

白俄罗斯著名电影制片人、调查记者维克多 ·查姆科沃斯基曾经将鲁巴斯基早期的职业生涯拍摄成影片。片中,当地犯罪组织对鲁巴斯基的天分青睐有加,前者也早已预见到,为互联网企业,特别是色情业服务的在线支付系统能够带来极为可观的回报,便将鲁巴斯基招入麾下。根据查姆科沃斯基的记录显示, 1995年鲁巴斯基开始和当地一个游手好闲的混混琴纳迪 ·罗格诺夫交往甚密。罗格诺夫的兄长正是明斯克当地一个名为“村人帮”的激进犯罪组织首脑。鲁巴斯基所从事的并非什么体力活儿,而是在网上搜集消费者的信用卡信息。之后他将这些信用卡套现或将账户信息变卖出售,以获取丰厚回报。

2001年春季,鲁巴斯基开始寻找一份货真价实的工作,不久便被当时俄罗斯境内规模最大的在线支付系统 CyberPlat录用,担任程序员。因职务需要,鲁巴斯基得到公司的财务支持,雇佣了十余名程序员为自己效力。他的任务就是组建一个团队,为 CyberPlat开发下一代支付平台。

根据《白俄罗斯报》(BelGazata)报道,当时 CyberPlat还向鲁巴斯基提供了测试系统安全漏洞的权限,尽管此举可能会产生数据泄露的风险。后来双方反目成仇对簿公堂时, CyberPlat声称,鲁巴斯基滥用职权非法侵入系统,还私自拷贝公司的客户信息,言下之意将责任推了个一干二净。鲁巴斯基向检察官控诉,他获取数据只是为了测试团队成员发现的系统安全漏洞,但他的雇主对这个说法根本不买账。当地警方对鲁巴斯基及其手下黑客的工作仓房进行了地毯式搜索,找到了大量足以坐实鲁巴斯基犯下盗窃罪的证据。白俄罗斯法庭最终站在了 CyberPlat一边,判处鲁巴斯基为期 6个月的监禁(之后判决缓期执行)。

此时,鲁巴斯基决意复仇。实际上在审讯结束之前, CyberPlat的客户名单就已经落到了执法部门官员的手里。此前,来自美国和其他国家的网络犯罪调查员们就已经怀疑,在网络上销售儿童色情产品的钱款流向了 CyberPlat的合作伙伴、俄罗斯“普拉提那银行”的商业账户中。而现在,警方终于掌握了有力的证据。

早在 2002年中期,俄罗斯《生意人报》就曾报道过一宗震惊国际的丑闻: CyberPlat的数十个客户竟公然在网站上兜售儿童色情图片和视频!在这桩丑闻初现端倪时, CyberPlat就已经将 40%的员工解雇,其中包括许多高层管理人员。

但鲁巴斯基却守住了饭碗,他继续利用深藏不露的色情网站开拓利润丰厚的儿童色情业市场。与此同时,鲁巴斯基的好友罗格诺夫也决心改进企业的运营机制,加大安保力度。警察一举端掉黑客窝点的情况将很难发生。

就这样,身为“防弹主机”托管业务的先驱,鲁巴斯基此时正积极地寻求方法,加强防卫措施,以保证自己在开展“业务”的同时不会受到任何人的干扰。即便当地警方打定主意要开展新一轮的围剿,鲁巴斯基也能未雨绸缪,找到新的藏身之处或及时销毁犯罪证据。

根据查姆科沃斯基拍摄的一部名为《操控联盟》(Operation Consortium)的纪录片以及其他俄罗斯新闻媒介的报道显示,罗格诺夫及其党羽曾在新窝点周围布下天罗地网,包括加装闭路摄像头和警报系统、购置防火警报和警方无线电、订做统一的制服。他们甚至还雇佣了前克格勃 ①的教官私下传授搏击术。据称,罗格诺夫的帮派人员接受了克格勃的全套野战训练,其中包括生理和心理承受能力的测试以及各种医疗和技术培训。“最初,他们还要接受笔试。”白俄罗斯内务部的官员伊戈尔 ·帕蒙在查姆科沃斯基的纪录片中说道,“甚至还有人因缺课而受罚。 ”

2004年,《白俄罗斯财经日报》(Belarusian Business News)中的一篇报道详尽描述了罗格诺夫的团队对另一家儿童色情企业崛起的反应。这家企业名为 Sunbill(后更名为 Billcards),由当地商人叶甫根尼 ·彼得罗夫斯基创立,专门为儿童色情行业提供信用卡处理服务。罗格诺夫的帮派决定将他们所学到的搏击技巧付诸实践,来除掉或至少震慑一下这个潜在的竞争对手。同年,彼得罗夫斯基还因为儿童色情网站提供信用卡处理服务而在计算机犯罪研究中心(位于乌克兰敖德萨州的非营利组织,收集了大量跨国网络犯罪的数据)留下了不良记录。

一天,彼得罗夫斯基驾车时被一名冒充警察的男子拦下,在他迈出车门的一刹那就被数名蒙面人绑架。绑匪将彼得罗夫斯基带关在明斯克郊外一处藏身地点后,联系了彼得罗夫斯基的助手,声称若想彼得罗夫斯基平安无事,就要支付 100万美元的赎金。不过这些绑匪没有等到赎金,而是等来了当地警方。于是绑匪又将彼得罗夫斯基带到了莫斯科。直到 2012年 11月,俄罗斯和白俄罗斯当局才找出罗格诺夫帮派的藏身地点,一举抓获了这群无法无天的绑匪。彼得罗夫斯基最终生还,毫发无伤。后来,罗格诺夫和他的同伙因绑架罪及其他罪名获罪入狱。根据《电子商务杂志》报道,被绑架时彼得罗夫斯基应该被藏匿在乌克兰的某处。

①克格勃,即苏联国家安全委员会的简称,是苏联的情报机构,以实力和高明著称于世。

查姆科沃斯基称,当时鲁巴斯基正忙于入侵和掠夺网络商铺的财务数据,根本无暇他顾,自然对其同伙的“准军事”行动一无所知。当鲁巴斯基获悉罗格诺夫的帮派因绑架和抢劫入狱的消息后,便迅速离开白俄罗斯,逃往俄罗斯圣彼得堡。直到现在我也没能追查到鲁巴斯基的所在。据白俄罗斯通社报道,鲁巴斯基已经是国际刑警组织的头号通缉犯。

据悉,鲁巴斯基在圣彼得堡的市中心租了一间临时办公室,还与莫斯科的阿尔法银行 ①签约,助其开发一套名为 Alfa-Pay的支付系统。鲁巴斯基开发这套系统的初衷就是避开警方的干扰和监察,从而得以继续帮助儿童色情业提供信用卡支付服务。正如 2006年白俄罗斯《明斯克晚报》(Evening Minsk)中报道,白俄罗斯境内许多色情网站都在向客户提供低龄模特的不雅照片。除此之外,这类色情网站也充当中介的角色,他们积极拓宽销售渠道、赚取佣金抽成;正是这些商户喂饱了鲁巴斯基这类蠹虫。

“在鲁巴斯基的帮助下,一个巨型的网络托管商正慢慢成形,色情摄影、色情制品分销以及托管公司运营都在它的掌控下有条不紊地运行,除此之外,包括定期支付、结算、佣金分成等事务也井然有序。 ”查姆科沃斯基写道,“鲁巴斯基是个中高手,他致力于散播儿童色情业制品的网站都基于一个千篇一律的系统,其特征是便于复制,更易于传播。 ”

①阿尔法银行(Alfa Bank)是俄罗斯第一大私人商业银行,于 1990年成立,总部位于莫斯科,其业务主要集中在俄罗斯和乌克兰地区,提供投资银行、企业银行、零售银行等服务。

从表面上看来,鲁巴斯基如火如荼的托管产业是独立于俄罗斯和东欧诸国(地下网络犯罪招摇过市的过渡区)存在的,但实际情况(也是悲哀所在)是,色情产业的绝大部分受众都来自美国:客户们愿意每个月花费 40多美元订阅浏览儿童色情网站,网络犯罪界业内将这些色情网站的演员称之为“小草莓”或“洛丽塔”,后者得名于俄罗斯文豪弗拉基米尔 ·纳博科夫的同名著作。根据新闻业的调查报告显示,鲁巴斯基的儿童色情网站每天都能吸引 10万余名游客浏览,保守估计每月约创造 500万美元的收入。

但不久之后, Alfa-Pay就发现自己的系统再次与彼得罗夫斯基的 BillCards支付处理系统狭路相逢。不过这次,彼得罗夫斯基拉来了“ Desp”伊戈尔 ·古谢夫作为盟友。坊间传闻,古谢夫是一个秘密网络论坛 Darkmaster.com的管理员,为了迎合网站站长而大肆涉足包括儿童色情业在内的核心色情产业。后来在一次邮件访谈中,伊戈尔 ·古谢夫告诉我,虽然他的绰号“ Desp”出现在 Darkmaster.com的网站上,但他其实从未担任过这个论坛的管理员。相反,古谢夫声称,他之所以同意用自己的名气入股以招揽客户,只不过是为了从论坛的真正管理员那里赚钱。与此情况类似,另外一家成人网站的站长还借用了他的另一个昵称“大师”。不过弗卢勃列夫斯基坚称,这正是古谢夫和 RBN沆瀣一气的佐证。

据弗卢勃列夫斯基称,鲁巴斯基的 Alfa-Pay和彼得罗夫斯基的 BillCards之间的竞争迅速升级到白热化阶段,大有你死我活之势。2003年,古谢夫还准备与 ChronoPay合作,当时计划五五分成,但这一计划不断受阻,且直接促成了俄罗斯境内最大网上支付处理系统CyberPlat的成立。

“Alfa-Pay当时和 BillCards鏖战正酣,双方都向对方发动了猛烈的网络袭击,试图揭露对方的非法本质。而且双方都向媒体透露了大量内幕信息。”在 2010年的一次访谈中,弗卢勃列夫斯基已经预料到自己与古谢夫将因抢占仿冒药品市场份额而大打出手后,他又补充道:“结果自然是两败俱伤,这在当时还是一桩不小的丑闻。 ”

历经此役后,鲁巴斯基决定投身于一项更加安全,但依旧有利所图的职业:网络托管。弗卢勃列夫斯基称,鲁巴斯基与 Eltel(白俄罗斯当地的一家 ISP,其网络服务实现了圣彼得堡和其他公共网络的链接)的运营者进行商谈。

弗卢勃列夫斯基坚信, Eltel的管理层从俄罗斯联邦安全局(简称 FSB,由苏联时期克格勃改制)获取到了政治庇护。这种形式的掩护(在俄语中称为“ Krusha”,意即 “屋顶”)几乎是任何行业获取可观利润的不二法门。因为获取可观利润的企业最容易受到犯罪分子、政府甚至暴力冲突的威胁。根据《暴力企业家》(Violent Entrepreneurs)一书的作者范迪姆 ·沃克夫所说, FSB的官员经常受到俄罗斯商家的雇佣,作为压制竞争企业经营利润的金牌打手。

沃克夫在书中提到,俄罗斯法律默许仍然在职的 FSB特工“在上级的指引下投身企业和营利组织,这就为数以千计的在职特工以‘法律顾问’(该职业最常用的头衔)的名义加入私营企业大开方便之门。他们利用与政府组织的裙带关系和 FSB的信息来源,向效力的企业提供‘屋顶’式庇护,即帮助其对抗犯罪组织的勒索和欺诈,同时改善私营企业与国家官僚机构的关系。据专家估计,约有 20%的FSB官员曾参与提供过类似的‘屋顶’庇护”。

“Eltel之所以能够凭借儿童色情业托管和疯狂营销在业界屹立不倒,他们与警方的暧昧关系功不可没。”在一次电话访谈中,弗卢勃列夫斯基像我透露, “Eltel上层的 ISP却持续不断地将他们手下的网站拖入黑名单,这样就避免了鲁巴斯基将自己的托管业务直接托付给类似 Telia和 Tiscali①重要互联网供应商的可能性。有了与官方的直接联系,鲁巴斯基的‘防弹’托管业务就不再需要向小中介 ISP摇尾乞怜。只要执法机关能给出一丝甜头,这些中介 ISP就会被逼入死角,而 RBN就会万劫不复。 ”

为了克服这个障碍,“鲁巴斯基这小子省下一大笔钱,让 Eltel享有来自国外的专用互联网。”弗卢勃列夫斯基回忆道,“他们将之称为‘俄罗斯商业网络’,简称 RBN。”根据弗卢勃列夫斯基的说法,鲁巴斯基任命天才少年尤金 ·瑟金科为 RBN项目的主管,当时后者 20多岁,在地下网络犯罪界被称作“飞人”。

在 RBN成为全球恶意计算机犯罪的中心,即从钓鱼网站到充斥着壮阳广告的垃圾邮件等每天骚扰我们计算机恶意行为的巢穴时,“飞人”也迅速成为 RBN和全球垃圾邮件瘟疫的代名词。

怎样干掉 RBN?

时间到了 2007年, RBN已经成为一个人人谈之色变的犯罪组织。 流氓服务托管商已经成为一个巨大的磁铁,将各种网络犯罪团伙招致麾下。虽然学院派学者和来自私营网络安保企业的专家们曾在一年前就对 RBN的崛起敲响了警钟,并撰写了数不胜数的报告揭露数量庞大的网络钓鱼诈骗、充斥着壮阳广告的垃圾邮件以及瘫痪 ISP、足以感染世界上数百万计互联网系统的托管恶意软件,但这些报告只是描述了 RBN恶意软件恶行的少数几个方面,如某种恶意软件的创新开发、僵尸网络指挥中心或在 RBN搭建的“温室”中如雨后春笋般涌现出的恶意网站。

① Telia是一家曾经占据市场主导地位的瑞典电信公司,其业务范围曾经遍布欧亚两洲; Tiscali是一家意大利电信公司,主要提供国内服务,但在欧洲和香港也曾风靡一时。现在, Telia和 Tiscali都归到 TeliaSonera旗下。

我忽然意识到,从没有人将这些针对 RBN的研究论文进行整理归纳为一篇足以涵盖所有恶意软件恶行的报告。虽然在当时,这些报告确实对 RBN网络的基础支持设施造成了一定程度的打击,但我始终认为,集思广益去写出一套相关知识的大众读本,才能在民众面前一举揭露这个黑暗产业的丑恶面目。

我最近以《华盛顿邮报》一个新人记者的身份整理出一份关于网络犯罪的材料,尝试将 RBN的情报汇总到一篇报道中,希望借此呼吁大众加强对互联网犯罪的关注。我一直坚信,网络犯罪社区最大的战略失误在于将所有的恶行集中于同一个区域。如果能让 RBN受到其他互联网社区的排斥和回避,网络犯罪企业就会应声而倒。

和我就此进行过交流的网络安全专家称,这样的举措可以加大网络犯罪运营的成本,让犯罪分子们变成过街老鼠,难以找到安身立命之所。这样一来,对于我们这些日常网络用户来说,可能的结果是垃圾邮件越来越罕见,推广恶意软件和兜售儿童色情制品的网站越来越少。

不过对我来说,这种影响意义非凡:我们不仅能够有效减少甚至根除垃圾邮件、病毒、恶意软件和其他安全漏洞带来的问题,还能震慑藐视法律、令人发指的色情行业。少数拥有不良嗜好的成年人的畸形需求,造成儿童色情行业产业链迅猛发展,也使许多未成年人身心健康受到损害。

2007年 6月,我开始频繁搜集和 RBN相关恶意网络行为的量化数据。在接下来的 4个月中,事态逐渐明朗。我从各种渠道不断收集到许多恶意网站的地理位置,事实上有些网站已经不能用恶意来形容,简直就是残忍。最终,我得以将流氓网络托管企业及其发送的破坏性垃圾邮件的途径织成一张触目惊心的犯罪网,而有关“售药联盟之战”的零散报道也席卷而来。

RBN的其他恶行还包括窃取其他著名网络安保公司的数据,受害的企业包括思科、戴尔公司安全部( Dell SecureWorks)、火眼( FireEye)、HostExploit、Marshall/M86、SANS互联网风暴中心(SANS Internet Storm Center)、暗影服务器( Shadowserver)、Sunbelt Software(现已被 GFI收购)、赛门铁克( Symantec)、Team Cymru、趋势科技( Trend Micro)和威瑞信等,这里不再一一赘述。

时任威瑞信公司网络安防情报部门应急处理主任的肯 ·邓娜姆称,他的团队曾经测试过 RBN所托管的网络性能,认为其质量堪忧。“我们仔细检查并关联了所有信息,发现 RBN简直一无是处。”邓娜姆说道,“我们曾经发现过 RBN的托管网络中有网络犯罪的虚拟安全港,但实际上,托管主机内所有的单元都能和非法恶意软件扯上关系。”简而言之,像 RBN这样犯罪性质的 ISP必须立即从互联网上连根拔除。

也许是忌讳 RBN背后神秘的俄罗斯犯罪组织的缘故,很多人在提及 RBN时往往谈虎色变,公开揭露其本质的言论少之又少。我的其中一位消息人士是一名学者,每天都需要向联邦调查局递交记录 RBN兜售儿童色情制品以及其他犯罪行为的卷宗,但他依然坦承自己从不敢将自己的所见所闻公之于众,因为他担心会遭到灭顶之灾。

“RBN背后就是俄罗斯黑手党,他们寡廉鲜耻,杀人如麻。”这名学者解释道,“虽然我很想给你提供专业建议,但我实在不能拿自己家人的生命安全去冒险。 ”

类似的话我已经听了不下数十遍,但此时我急需一位专家挺身而出,协助我将 RBN的丑恶行径记录在案,借以警示世界上“天真懵懂”的数百万网络犯罪受害者。经过了一番唇枪舌战,我终于说服了数位专家,鼓励他们勇敢地揭露真相。

2007年 10月 13日,《华盛顿邮报》在头版刊登了一篇名为《网络犯罪不为人知的渠道:阴影中的俄罗斯企业》的报道,当日报社网站的主页上也刊登了大幅图片。

在这篇报道登出后不久,《华盛顿邮报》又在其 SecurityFix博客页上登出了两篇补充报道,详述 RBN的恶行,又列举出了和 RBN交好并帮助其链接外网的 ISP。

一切的罪恶都暴露在睽睽众目之下:这些恶意网站臭名远扬,托管商们为了和 RBN撇清关系纷纷撤资,一夜之间, RBN成了非法、恶意网站藏污纳垢的罪恶源头,百舌莫辩。

在随后的几个星期内,数以万计曾经和 RBN相连的网址被遗弃。曾经盘踞在这些网络地段的犯罪企业纷纷消失,他们转而投奔位于意大利、韩国和世界其他地区的“防弹”托管商。结果,在很短的时间内,虽然垃圾邮件傀儡仍在持续制造垃圾广告、散布包含恶意软件的网址,但是垃圾邮件中宣传的网站纷纷倒闭。从表面看,这场战役的胜利无关紧要,但对于网络安全社区来说,这相当于打响了“武装”反抗地下网络犯罪的第一枪。

不过,还是有人对这个突破性进展表示担忧。当 RBN还是一个不良托管的集中体时, ISP为数不多的几个防火墙指令还能针对它的攻击对其进行封堵。但在其分裂之后, RBN能从十数个网络同时发动攻击,封堵反倒变得更为棘手。到现在为止, ISP还不得不将其安全网扩散到更大的范围,以杜绝恶意网站、僵尸网络和邮件制造商的侵袭。但令人欣慰的是,地下网络犯罪界总算引起了 ISP、政府部门和各企业的重视。

然而, RBN始终还是网络犯罪行为的冰山一角。 2008年 8月,也就是 RBN倒台的同时,我记录下了 Atrivo的一系列网络犯罪记录。和年轻的尼古拉所在的马克罗互联网公司类似, Atrivo是一家总部设于北加利福尼亚州的主机托管商。它同样藐视执法部门和安全社区关于连接恶意网站的限制政策,这和推行恶意软件传播的僵尸网络并无二致。我凭借相同的手段,从收集 RBN犯罪数据的安保公司获取了 Atrivo的信息,其中 HostExploit的一篇报告令我受益匪浅。

媒体的责任就是揭露真相

我所撰写的网络犯罪系列引起了媒体和安保专家们越来越多的关注,也将 Atrivo慢慢逼到了互联网的边缘地带。很快, Atrivo在 ISP业内的合作伙伴(为 Atrivo在广泛的互联网环境内提供触媒)及其网络犯罪用户相继暴露在大众的视野之中。在大约两周的时间内,它们相继切断了与 Atrivo网络的联系,销声匿迹。

在 Atrivo原形毕露之后,一个最显著的结果就是暴风蠕虫的加速灭亡。暴风蠕虫是一个渗透并攻陷了美国境内数百万台个人电脑的臭名昭著的僵尸网络,正如我 2008年 10月 17日在《华盛顿邮报》专栏 SecurityFix博客页上描述的那样:“在世界范围内,约有 20%的垃圾邮件出自暴风蠕虫。 ”Atrivo曾经为暴风蠕虫( Storm worm)的多台主服务器提供过托管服务;在 Atrivo最后一台托管服务器被迫下线的 3天前,暴风蠕虫爆发出了最后一波垃圾邮件发送狂潮,之后就归于沉寂。

在 Atrivo崩溃一周后,一个可靠的消息人士(他和地下网络犯罪界很多臭名昭著的人物都有些交情)为我带来一个匿名黑客的口信。这位黑客对我击垮 Atrivo深谋远虑的计划表示欣赏,但亦有些不快。这位神秘的网络罪犯对这位消息人士说:“帮我向克雷布斯转达一下, ‘Atrivo这事儿干得漂亮’,但是如果他正琢磨着对马克罗互联网公司下手的话,就有点痴心妄想了。 ”

我不知道这句话意味着什么,这个旁观者的语气中似乎隐隐透着一股威胁的气息。而且在听完这名消息人士的转述之后,我意识到自己已经无法回头。那个时候我已经作好了对马克罗互联网公司追根究底的准备。当发现与 Atrivo合作的黑客和僵尸主控机还将一部分设施挂靠在马克罗互联网公司的托管主机上时,我意识到对马克罗互联网公司展开调查只是一个在逻辑上顺理成章的选择而已。在 Atrivo倒下之后,马克罗互联网公司成为地下网络犯罪界最大的“防弹”网络托管商。

11月 11日,我将几个月以来苦心钻研的数据发给为马克罗互联网公司提供广泛网络触媒的两大 ISP合作伙伴:环球电力和飓风电力公司(这两所公司的总部均设在美国)。此时我已经将研究的信息精心绘制成了一幅地图,上面详细标识了马克罗互联网公司的服务器如何利用北加利福尼亚州屈指可数的主服务器控制着 5个最活跃的邮件僵尸网络。我认为,只要这两个合作伙伴看到了马克罗互联网公司进行恶意网络活动的记录,就会主动断绝合作关系,马克罗互联网公司就会陷入瘫痪。

几个小时后,我接到一位负责监控全球垃圾邮件动向的消息人士(他也知道我正准备对马克罗互联网公司下手)的电话。

“克雷布斯,你到底做了什么?”他赞不绝口地大笑道,“垃圾邮件数量锐减啊!马克罗好像从网络上消失了一样!”我不记得当时说了“谢谢”还是“再见”,只记得我在对方的兴奋吼叫中挂断了电话,然后又迅速地拨打了其他几个号码。所有人都帮我确定了一个事实:马克罗互联网公司已经不复存在,万维网上所有指向马克罗互联网公司的链接都失效了。我的任务完成了,至少暂时完成了。

后来我向飓风电气公司的市场部经理本尼 ·吴致电才弄清事情的来龙去脉:就在当天下午,飓风的 ISP切断了和马克罗互联网公司的联系。“我们认真研读了你的报告后进行了细致的调查,在意识到事态的严重性后,都不约而同地大叫‘我的天啊! ’。”本尼 ·吴说道,“所以在短短的一个小时内我们就切断了所有和马克罗互联网公司的网络连接。 ”

在马克罗互联网公司崩溃的几分钟后,我在博客撰写并发表了一篇记述马克罗互联网公司“出局”的文章。由于马克罗互联网公司在全球影响力巨大,这篇文章成为网络犯罪界最大的奇谈之一。然后我开始动笔为《华盛顿邮报》的官方网站以及次日的定版撰写了一篇更长的报道,出版的最终稿在我们这些网络记者的圈子里也掀起了轩然大波。

那天晚上我在家中焚膏继晷地工作到次日清晨,为这篇报道撰写后续文章,最后在黎明时分完稿的时候实体力不支,穿着睡衣趴在键盘上睡着了。

第二天上午晚些时候,那篇关于马克罗互联网公司的后续报道在《华盛顿邮报》官网上发表,并被放在了最显眼的位置,而该网站也成为当天关注度最高的网站。直到《华盛顿邮报》官网的一位律师看到这篇报道后大发雷霆。据说这篇报道的刊登并未征得律师们的首肯,因此后者强烈要求《华盛顿邮报》的网站撤回文章,直到事态被执法机关再三确认,并认定马克罗互联网公司罪行确凿之后才能重新刊登。

当一篇报道涉及的事实或指控可能会导致法律上的纠纷,尤其在当事团体极有可能提出法律诉讼时,《华盛顿邮报》的编辑和其他主流媒体通常会将文稿送交律师部门进行审核。一位来自《华盛顿邮报》官网的律师对于报道中关于马克罗互联网公司主事人(马克罗互联网公司的所有者一直拒绝发表任何评论)涉及“非法活动”的措辞大为光火。虽然马克罗互联网公司在光鲜外表之下从事的都是不为人知的肮脏交易,而且其网站上列举的全部都是匿名的即时通讯账户,因此该公司所有者就报道中的内容一直拒绝发表任何评论。毕竟,没有证据显示马克罗互联网公司的员工曾经从事过任何犯罪活动,我们对它的指控能够站得住脚吗?

我在上午刊登的报道上列举了大量马克罗互联网公司从事不法勾当的证据,这些证据都是从不计其数的网络安全专家处收集到的。不幸的是,对刊登文章持反对意见的《华盛顿邮报》网站咨询律师是在手机上浏览这篇文章的,文中的超级链接在手机上无法显示,而这些链接所指向的正是大量第三方报道和马克罗互联网公司犯罪行为的佐证。对于这位律师来说,这篇报道只是言之无物的空谈,还有极大可能会招致对方的投诉:马克罗互联网公司虽然彻底倒闭,但在走投无路的情况之下很可能采取极端手段泄愤。

这名律师坚持要求《华盛顿邮报》撤回报道。在经历了一段时间的“抵抗”之后,出版方不得不作出妥协。他们既没有向我征询过报道内容是否属实,也没有要求我展示文中所提及到的各种物证,但是报道就这样消失了:上万名读者发现文中的链接全部失效。最终读者还是要转回我的博客寻找马克罗互联网公司倒台的新闻,我的邮箱迅速被关注后文的读者挤爆了。

对这篇网络犯罪史上最重要的报道的追随者来说,接下来的 5个小时极其难熬,因为报道始终处于“被编辑”和“非法”的状态;大家翘首以盼后续报道,现在却没有了后文。此时此刻,律师们正逐行逐句地研读文章,将可能会招致口诛笔伐的词句逐一修改删减。

在经历了删减和修订之后,报道终于在当晚再度问世。但从那天开始,出自我笔下的任何稍稍涉及网络犯罪的文章都必须经过《华盛顿邮报》至少一位以上的资深编辑审核,且还要经过律师们的首肯之后才能登刊。在我和网络犯罪斗争的时光里,这样严苛的盘查一周要上演好几次。

在马克罗互联网公司遭遇滑铁卢之后,花费数周甚至数月才得以完稿的报道通常都被封禁在纸媒高层的邮箱中。甚至在一些案例中,后续报道一般都被《华盛顿邮报》官网的编辑或律师们无限期保留,难见天日。

遗憾的是,我的一篇报道也在此列。这篇报道的主题是网络犯罪活动的模式,为了它我花了 6个月时间进行探访和写作,殚精竭虑,甚至追溯到了弗卢勃列夫斯基的 ChronoPay活跃的时代。在那个时候,世界范围内发展最为蓬勃、获利最高的犯罪行为就是假冒杀毒软件(通常被人称为“骇人软件”)的传播。假冒杀毒软件通常会使用“弹出类”预警和其他诡计诱导毫不知情的网络用户购买毫无用处的安全软件。更变本加厉的是,这些冒牌安全程序中往往内嵌恶意软件,将个人主机变为喷吐垃圾邮件的傀儡机。

长期致力于研究“骇人软件”的网络安全专家们告诉我,在各类由“骇人软件”发起的信用卡违法支付的案件中, ChronoPay都涉足其中。而这个企业的创始人,即俄罗斯人巴维尔 ·弗卢勃列夫斯基更是与各种诈骗计谋的策划及分成有着密不可分的关系。

在 2008年底之前,我对弗卢勃列夫斯基还知之甚少,不过我手下一名不愿透露姓名的俄罗斯消息人士曾催促我彻查 ChronoPay在注册地荷兰的账目记录。这些记录显示,在 2003年 ChronoPay创立之初,是一家由弗卢勃列夫斯基和伊戈尔 ·古谢夫五五控股的企业。之后,这名消息人士又指引我核查该企业在 2005年的数据。这一年,两名创始人分道扬镳。 2006年,古谢夫另起炉灶,创办了流氓网络药店犯罪集团 GlavMed-SpamIt。一年之后,弗卢勃列夫斯基创立了 Rx-promotion,与古谢夫互竞雄长。

不过那时,初出茅庐的我还不清楚弗卢勃列夫斯基和 Rx-promotion的关系,甚至没听说过伊戈尔 ·古谢夫的大名。我只知道ChronoPay和 Con.cker蠕虫,后者可能是迄今为止恶意软件所能传播的最致命的计算机病毒。蠕虫的早期版本将在被感染的电脑中开启一个后门,协助远程攻击者操控上百万台计算机并发布指令,使其自动从 Traf.cconverter.biz下载流氓杀毒软件。 Traf.cconverter.biz是一家电子商务运营商,通过雇佣网络诈骗者将流氓杀毒软件植入个人电脑,并从中获利上千万美元,那时的 ChronoPay正是为其提供支付服务的幕后黑手。

2009年 3月,我首次发现在假冒杀毒软件传播背后默默数钱的 ChronoPay。这个消息同样也为弗卢勃列夫斯基创建并拥有 Crutop.cn这一事实提供了佐证,正是这个罪行累累的网上论坛喂养了出现在马克罗葬礼上大量的垃圾邮件制造商和网络诈骗犯。

我的报道引用了数位在 ChronoPay发迹史上作出重大发现的安保专家的研究结论,但却被《华盛顿邮报》官网的资深编辑雪藏数月之久。这些编辑认定 ChronoPay会凭借这篇报道将《华盛顿邮报》告上法庭。当然,我能够理解他们的顾虑。在一次电话访谈中,弗卢勃列夫斯基也曾威胁我,如果我照实报道,他将与我们对簿公堂。

不过,编辑这种犹豫不决的做法却直接导致了我撰写的另一篇关于 ChronoPay报道搁浅。在马克罗帝国塌陷后,大量违法行为迅速另谋他路,在北加利福尼亚找到了托管服务器——三路光纤网络(业界简称 3FN)。数年来根植于马克罗互联网公司的垃圾邮件发送商和僵尸网络操控者见风使舵,转投 3FN继续从事不法勾当。网罗当时俄罗斯境内垃圾邮件大鳄虚拟窝点的 Spamdot论坛上发布的一条公告显示,在 2008年 11月,即马克罗互联网公司倒闭之时, 3FN的所有人将马克罗互联网公司的客户全部收归旗下。

在当时, 3FN也成了互联网上推广假冒杀毒软件网站的母巢。 3FN网站和马克罗互联网公司并无二致,而 ICQ成为与 3FN所有者沟通的唯一渠道。

为了让报道重见天日,我付出了坚持不懈的努力。在接连实施雷霆手段将 RBN、Atrivo和马克罗互联网公司拉下马之后,我坚信,《华盛顿邮报》对读者,同时也对这个世界有一种义不容辞的责任,这种责任就是对互联网托管商实施媒体监控,将网络犯罪的恶行大白于天下,为互联网用户提供一个安全的避风港。主流媒体的负面报道会促进执法机关采取行动,在美国,甚至是全世界范围内降低网络犯罪对民众安全的威胁。不过,我的编辑们仍对重刊报道的后续影响耿耿于怀,认为这种举措势必会为《华盛顿邮报》招致灾难。

2009年,我在《华盛顿邮报》的编辑会议上提到,在网络犯罪领域内, 3FN已经成为美国执法部门的关注焦点。但此时也有编辑提醒我,发出这种言论要有至少两个消息来源的证实,只有得到执法部门记录在案的确切调查结果或者托管服务商受到诉讼的相关证据,《华盛顿邮报》才会考虑将我控诉 3FN控报道的解冻提上日程。不过此时案件卷宗已经被联邦法官封存,更悲惨的是,除了我在立法机关的消息人士之外,大多数人都对 3FN一无所知。很遗憾,我的报道再次被雪藏。然后,在 2009年 6月 2日,美国联邦贸易委员会(简称 FTC)终于说服北加利福尼亚地方法官掐断 3FN公司上游互联网供应商的路由流量。

一瞬间,与 3FN上行连接的 1.5万个网站纷纷掉线。 FTC将 3FN定性为“涉嫌雇佣犯罪人员、在明知违规的情形下托管并密切参与非法、恶意和有害内容传播的‘恶意’或‘黑帽’网络托管商的经营活动”。所谓的“有害内容”包含出租僵尸网络控制服务器、传播儿童色情业制品和假冒杀毒软件等等不一而足。

FTC的举措对我来说无异于雪中送炭:一直以来我所寻求的支持者终于出现,调查得以继续进行。我的野心很大:弗卢勃列夫斯基、 ChronoPay、他们在假冒杀毒软件市场上困扰了数百万消费者、威胁消费者身份安全、财产安全的内幕,我都想摸个通透。同样,向 3FN寻求托管服务的 Crutop.nu也在 FTC的关注之列。 FTC将 Crutop称为“网络罪犯交流技术战略”的市场,这是一个“垃圾邮件制造商交流各种牟利经验”的俄语网站。在一次针对俄罗斯成人网站论坛的讨论中,有消息显示 Crutop拥有超过 8 000名活跃会员,是 3FN的最大消费者团体。

更能说明事实的是,在 3FN崩溃之后、《华盛顿邮报》官网刊发 ChronoPay与假冒杀毒软件业狼狈为奸的报道之前, Crutop.cn的主页发表了一篇详细记述了 FTC针对 3FN实施行动的长篇大论。这可能是我第一次见识到弗卢勃列夫斯基的如簧巧舌。

文章的一段文字摘录如下:

最后,我们还想补充一点:虽然我们的员工从没把公司准则的第一条当回事,还对此往往一笑置之。但我们不禁好奇,来自美国(其中有十分之一的人会讲俄语)的 5位专家,包括来自 NASA的大牛们和声名远播的布莱恩 ·克雷布斯先生难道没有注意到,虽然我们的 Crutop.nu是垃圾邮件论坛 SPAM的一个分版,却从没有任何只言片语涉及垃圾邮件和网络犯罪,你们难道瞎了吗?

我撰写的关于弗卢勃列夫斯基以及 ChronoPay在 3FN中关键作用的报告在上交 4个月后终于重见天日。虽然弗卢勃列夫斯基和ChronoPay没有提出任何法律诉讼,但《华盛顿邮报》的编辑们对我始终将笔锋针对网络罪犯的行为依旧忧心忡忡。并且其高层领导一直担心我撰写的涉及网络犯罪的报道并没有真凭实据,他们还认为我着眼于网络犯罪的做法太过狭隘,并未考虑到读者的实际需求和纸媒的出版政策。另外,他们认为我和那些位消息人士过从亲密,看法难免有失偏颇。

在某种层面上,我了解他们的顾虑。盲目排他、偏听偏信确实是记者的大忌,这些做法也确实会丧失新闻的广泛性和公允性。但我也知道,我所需要的只是更多、更可靠的情报来源,尤其是活跃于网络犯罪界的情报来源。我一直认为, 3FN的报道是重中之重,我必须追查到底,将报道撇去不管无疑会丧失掉揭露网络犯罪真相的好机会。

在 2009年中的一次会议上,《华盛顿邮报》官网的编辑解释道,尽管我在 Security Fix博客页上的文章凭借热门的话题吸引了不少眼球,吸引了一批忠实读者,但报道的角度和《华盛顿邮报》一贯坚持的原则,即深入线人基层,“从华盛顿出发,为华盛顿报道”并不符合。

当时《华盛顿邮报》正在经历一个漫长而痛苦的整合期,而“从华盛顿出发,为华盛顿报道”这一原则正是他们当时的中心议题。《华盛顿邮报》希望借此将独立为战的各部门整合到一起,削减运营成本。

《华盛顿邮报》高层智囊团所得到的结论是,为了进一步削减成本,应该调整纸媒和网站的报道重点,多关注报道一些首都当地的事件,并向读者们展示首都的一言一行、一举一动如何影响世界。公司甚至还计划关闭美国的一些主流新闻部门,转而依靠美联社或路透社的远程信息。

编辑们希望我能多花些时间关注一些其他的问题,比如科技政策,尤其是科技新规范,以及紧跟政策的未来科技创新。但我志不在此,我只想继续进行网络犯罪的研究。在就职于《华盛顿邮报》的早期,我也曾尝试着在报道中贯彻公司的政策,但我发现,那样的工作单调无聊,并且死板僵化。

对政策的妥协也意味着我要抛弃过去 4年内积累的信息来源,尤其是安插在安保产业和网络犯罪界内部的消息人士。当时,网络攻击每个月都在朝着一个更复杂、更严峻的方向发展,美国境内无数中小型组织深受其害,我对其展开的一系列调查正在紧要关头。经过审慎的研究和调查之后,我终于得以窥探到东欧境内有组织的大型网络犯罪团体的恶行。

历经数月的调查研究之后,我最终摸清了犯罪组织的成员、窝点、日常犯罪行为以及他们的攻击目标。受害者通常会在毫不知情的情况下被盗取成千上万甚至高达百万美元的资产。虽然小型企业和营利组织的银行账户由专人管理,但在网络犯罪团伙面前无疑螳臂当车。当时,我正急于将自己的发现公之于众。

除此之外,我开始意识到, ChronoPay和弗卢勃列夫斯基只不过是网络犯罪界的冰山一角;在横亘俄罗斯和东欧的地下网络犯罪的版图中,他们只是几块最显眼的高地而已。

在《华盛顿邮报》供职 14年后,我被扫地出门,拿到了 6个月的遣散费,但我已经争取到了足够的时间为下一步的行动制定计划。我依稀记得 2010年 1月 1日四处奔走、寻找下一份工作的艰难时刻。当时的我满怀梦想,但对未来一无所知。

关于离职的事情,我只和家人以及两名非常信任的消息人士讨论过。不过令我感到困惑的是,在正式离职还不到一个月的时间里,我在 Crutop.nu的网站上看到了一篇名为《克雷布斯被华盛顿邮报解职》的报道,很显然会员们正在为这个消息弹冠相庆,极尽嘲讽之能事。这令我非常困惑 :这些人是如何得知我被解雇的事情?

会员们在帖中写道:“如果你不认识克雷布斯先生,我们这里可以给你提个醒:他就是那个在《华盛顿邮报》 SecurityFix博客上檄文的作者,老是死盯着 Atrivo、马克罗互联网公司、 EstDomains, UrkTeleGroup和 3FN不放,上述企业的倒闭便是拜他所赐。”其他会员则奔走相告,整个论坛中欢声雷动:“感谢您,圣诞老人! ”“圣诞老人收到了我的许愿信!”这种私人信息却以如此公开的方式暴露在垃圾邮件黑客猖獗的公共论坛上,确实让人感到恐怖和不安,但这也坚定了我继续努力揭发垃圾邮件行业内幕的决心。

在 Crutop.nu的那篇帖子挂出的两周前,我刚刚匿名注册了 KrebsonSecurity.com的域名。但究竟要在新闻发布会上公布还是在个人博客上昭告天下,我有些犹豫不决。不过接下来一些消息纷至沓来:我有几位供职于其他主流媒体的同事也惨遭开除,净身出户。还有一些被安排到更加商业化的部门。听到这些消息之后,我倒是冷静下来:看来主流纸媒或网络媒体门户已经不大适合我了。但是单枪匹马、白手起家,还要养家糊口,一想到这些我就头疼,还有几次切切实实地吓到了我。

但以此同时,我脑海中的另一个念头却蠢蠢欲动,不断鼓励着我追求成功,搭建一个基于个人原创报道的媒体平台。当我读到 Crutop 网站的帖子之后,我知道这可能是人生中一次重大的挑战,不过真正的男人就该直面这样的挑衅!情况很快有了可喜进展,我了解到俄罗斯读者们对 Crutop网站的帖子表示不满,并准备向我提供一些文件,这些文件正是 ChronoPay参与地下网络犯罪的佐证。虽然我怀疑,这事件的背后推手很有可能就是与弗卢勃列夫斯基先友后敌的伊戈尔·古谢夫,但我终究不敢确定。但是我很快下定决心,对于这种主动投诚的线人,我还是张开双臂欢迎为妙。

“希望你不要误会。”一位化名为鲍里斯的线人在邮件中提醒我,“这些家伙极有可能是弗卢勃列夫斯基本人,肯定会报复你,后果可能会有些惨烈。”此前,鲍里斯承诺过向我提供大量 ChronoPay从事不法活动的证据。鲍里斯和其他线人信守承诺,但他们的警告也一语成谶。在收到各类举报文件几天后,匿名恐吓信就尾随而至。但此时,我已经将以往的迟疑和顾虑一扫而空。

我要开始工作了!

读书导航