感染超十萬臺裝置,Kelihos殭屍網路終於落幕
圖片來源:視覺中國
幾天前,俄羅斯黑客Peter Levashov(以下簡稱裡瓦索)在美國聯邦法庭當堂認罪,包括欺詐、共謀、計算機犯罪和身份資訊盜竊等數項罪名。自從2017年四月於西班牙被逮捕,經過一年多艱辛漫長的引渡、訴訟,最後以裡瓦索失敗告終。據分析,38歲的裡瓦索很可能面對著長達52年的牢獄之災。
至此,這位在國際間活躍了十餘年,創立了臭名昭著的Kelihos殭屍網路,影響了數十萬臺裝置的“數字黑手黨”、“垃圾郵件之王”,終於傳奇落幕。
暗網下的“殭屍操控者”
如果在迪拜的高階酒店,或瑞士的網紅餐廳看到了舉止有禮的俄羅斯中產之家,我們多半會認為他們來自俄羅斯科技新經濟崛起的那一撮人,或是某個前蘇聯高官的後代。實際上,那些流連於五星酒店和世界名勝的俄羅斯新中產們,口袋裡的鈔票可能來自暗網上的交易。
裡瓦索的合作者,美國最大的垃圾郵件運營商拉爾斯基評價他說,“裡瓦索的財富讓人難以想象,他幾乎不用工作,每天出沒在芬蘭的漁屋或迪拜的高階酒店。”
讓裡瓦索可以躺著賺錢的,是一種名為殭屍網路的病毒技術。所謂殭屍網路,就是通過網際網路傳播病毒程式,在被感染的裝置中就會形成一個通道接收攻擊者的指令,被感染的裝置多了,就形成了一個一對多的控制網路,如同一個人操控著一群“殭屍”。
被殭屍網路感染時,使用者往往毫無察覺。這些殭屍網路一方面被用來發送海量垃圾郵件、或釋出大規模網路攻擊,另一方面這些裝置中儲存的資訊也都被攻擊者獲知。
前文提到的Kelihos殭屍網路,就是裡瓦索的巔峰之作。美國司法部首席檢察官助理在宣告中提到, Kelihos 感染了超過 10 萬臺裝置,每天傳送數十億封垃圾郵件。 我們看到的那些詐騙郵件、騙錢的釣魚連結,都是來自這樣的殭屍網路。
不過作為殭屍網路的底層搭建者,裡瓦索並不依靠網路詐騙賺錢,他像運營一個基站一樣,對外“出租”殭屍網路,有償提供郵件傳送服務。法庭記錄表示,裡瓦索的殭屍網路每傳送100萬條垃圾收費200-500美元。也就是說 每天能傳送數十億封郵件的殭屍網路,很可能一天就有上萬美金的收益。
除了殭屍網路帶來的收入,裡瓦索還經常在俄羅斯暗網上批量出售通過殭屍網路盜取的使用者資訊。
光從收入上看來,裡瓦索的確擔得上“數字黑手黨”這個名號了。
當法外之徒進入關鍵領域
但隨著Kelihos殭屍網路的規模越來越大,它的用途也不再僅僅是傳送小打小鬧的詐騙郵件,而是逐漸開始入侵到一些關鍵領域之中。
像是在2016年,美國政府就發現了一個專門向美國教育機構傳送惡意郵件的攻擊者,使用的就是Kelihos殭屍網路。最主要的是,在裡瓦索入侵的10萬臺電腦裝置中,有5%到10%都在美國境內。尤其當2010年以後,網際網路和資訊化設施越來越普及,殭屍網路能做到的事情越多,危害也就越大。
實際上裡瓦索的黑客行動並非十分隱蔽,在十多年前,他就曾因在美國密歇根進行網路詐騙被起訴;在2009年,他再次因為殭屍網路在美國華盛頓被檢察官起訴。甚至有媒體稱,裡瓦索在90年代就開始利用網路犯罪了。
那麼裡瓦索為什麼能夠在光天化日之下繼續犯罪近二十年,四處旅行揮霍過著逍遙法外的生活?
首先在以往的兩次起訴中,裡瓦索的罪名都不夠嚴重,案件級別也都停留在地方,並沒能上升到聯邦,執法者的權力非常有限。何況裡瓦索雖然四處旅行,但根本不會出現在美國。
當然,最主要的原因還是多年以來人們一直沒把裡瓦索和Kelihos殭屍網路聯絡起來。從2010年開始,美國一些科技企業和資訊保安企業就開始密切關注kelihos,時不時聲稱自己已經找到幕後黑手、徹底殲滅殭屍網路。但沒過幾天,陰魂不散的Kelihos又會春風吹又生。
裡瓦索在俄羅斯網站上釋出售賣殭屍網路許可權的資訊,他的頭像似乎是《暗黑破壞神》裡的BOSS
就這樣,裡瓦索一邊通過殭屍網路獲得大量收益,一邊過著富足的生活。這樣經歷使他成為俄羅斯黑客界的傳奇,享有極高的聲望,掌握了大量祕密交易群組,進一步擴大著自己數字黑手黨的“勢力範圍”。
急轉直下:俄羅斯黑客最不該做的事就是用蘋果產品
一個值得思考的問題是,裡瓦索在被捕之前,到底有沒有相應的心理準備?
這次裡瓦索被捕,來自於2017年4月份美國田納西州的訴訟。在這一時間段,美國正在浩浩蕩蕩地開啟一系列俄羅斯黑客追捕計劃。除了裡瓦索之外,還有很多黑客接連在希臘、捷克、葡萄牙泰國等等地區被捕。FBI認為,這些黑客都與干擾美國大選有關。
而裡瓦索之所以暴露了蹤跡,是美國在追蹤Kelihos殭屍網路時意外發現了這一網路和裡瓦索運營的另一個網路安全專案Severa有著千絲萬縷的聯絡,同時Severa還是裡瓦索常用的網名。
於是, 美國FBI從2016年開始監視裡瓦索的iTunes、iCloud賬號,集合Google、FourSquare多個賬號的登入IP互相匹配 ,最終掌握了足夠的證據證實裡瓦索就是Kelihos殭屍網路背後的黑手。
另一個原因則是,這幾年美國通過了重要的《美國聯邦刑事訴訟規則和證據規則》第 41 條,對擴大了聯邦政府對於殭屍網路、虛假IP地址的搜查許可權,甚至可以實現遠端搜查。
自此FBI開始了漫長的蟄伏,追尋著裡瓦索一家的行動足跡,終於等到裡瓦索來到“方便下手”的西班牙時,才一舉將其抓獲。
這一過程同樣存在很多疑點,比如此前已經有很多俄羅斯黑客在歐洲旅行時被美國抓捕,裡瓦索沒有理由不進行防範,反而在西班牙待了四十多天;同時在此前俄羅斯黑客被抓捕時,俄羅斯政府通常會出面交涉,但在裡瓦索事件上,儘管很多人都認為這是莫斯科和華盛頓的一場角力,但俄羅斯政府從未發聲;而且即使裡瓦索已經認罪,正式宣判也要等到明年9月,所用時長遠遠超出了一般案件。
傳奇的迴響:數字黑手黨背後的政治棋局
雖然最終關於俄羅斯黑客影響美國大選的訊息還沒有定論,但裡瓦索已經將自己和政治牢牢的綁在了一起。
裡瓦索的合作伙伴拉爾斯基在採訪時透露過,早在2010年以前裡瓦索就放出風去想要和俄羅斯政府合作,他也是第一個將俄羅斯政府間諜帶入俄羅斯黑客圈子的人。以這位“數字黑手黨”在俄羅斯黑客行業中的聲望看來,這種說法並不荒謬。
而且在裡瓦索被抓捕後,裡瓦索的妻子曾經對媒體表示裡瓦索被抓捕和特朗普當選有關,同時強調裡瓦索在俄國有著合法經營的企業、供養家庭,是一位愛國英雄。
這些線索給這位數字黑手黨的故事留下很多謎題,這一批被抓捕的俄羅斯黑客究竟是不是被俄羅斯政府豢養?特朗普又為什麼會和俄羅斯黑客扯上關係?
數字黑手黨的故事仍有迴響,無時不刻在提示著我們:數字時代中大國博弈的方式也在發生變化,過去的長槍短炮,變成了今天一行行的程式碼。而那些叱吒風雲,掌握著無數人數碼裝置命運的黑客們,或許也只是錯綜政治棋局中的棋子。
或許幾十年後,這段傳奇會被重新書寫,以另一種角度揭露我們今天正在經歷的歷史。
【鈦媒體作者介紹:文/腦極體】