（0）幽靈的審判

這是真實(shí)攻擊，這不是演習(xí)！

重復(fù)一遍，這不是演習(xí)！?。?/p>

2016年11月27日，深秋的德國突然響起“空襲警報(bào)”，一場針對全境的地毯式轟炸隨之而來。沒錯，我說的是全境。西起科隆東至柏林，北抵漢堡到南達(dá)康斯坦茨，整個版圖一片猩紅，像一輛燃燒的戰(zhàn)車。

自 1945 年二戰(zhàn)結(jié)束之后，無人能夠在真實(shí)世界空襲德國。但在賽博世界，并沒有雅爾塔會議，也從沒人發(fā)表過波茨坦公告，從沒有人宣戰(zhàn)，更沒有人停戰(zhàn)。過去這里是一片黑暗森林，未來，這里仍將是一片黑暗森林。

這次“空襲”針對的不是軍方，不是政府，而是針對每一個手無寸鐵的德國平民，針對他們家庭客廳里一個安靜閃爍的小盒子——路由器。

德國總共有8000萬人口，4000萬個家庭。就在那次襲擊中，德國電信（Telekom）旗下2000萬臺家庭路由器遭到黑客攻擊，其中很多被黑客控制，90萬臺服務(wù)器直接宕機(jī)，互聯(lián)網(wǎng)的光芒像被榴彈擊碎的燈火，在這些家庭的窗口黯然熄滅。

暗夜里，德國沉入大西洋。

屠殺持續(xù)了三天。情狀之慘烈，堪比1939年納粹德國閃擊波蘭，只不過這次歷史調(diào)皮地調(diào)換了主角。

黑客使用的病毒，不是一般的病毒，而是會自己傳播的“蠕蟲”。如果你想象的話，它就像保護(hù)傘公司制造的“僵尸病毒”。

一旦某個路由器被感染，就會立刻調(diào)轉(zhuǎn)槍頭，加入僵尸大軍，一起去“撕咬”其他路由器。直到這個世界上所有可以被感染的路由器走向兩個結(jié)局：

第一，被黑客控制組成“僵尸網(wǎng)絡(luò)”；

第二，因?yàn)槌绦蝈e亂而“突然死亡”。

一場國家級別的網(wǎng)絡(luò)戰(zhàn)爭，降臨在德國電信這樣一家商業(yè)公司頭頂，堪稱史無前例。

第一天，面對洶涌的進(jìn)攻，技術(shù)人員只能緊急關(guān)閉路由器上被攻擊的端口，就像焊死一幢幢大樓的入口大門。為了讓僵尸進(jìn)不去，索性把援軍也封鎖在外。魑魅魍魎，百鬼夜行；

第二天，技術(shù)人員開始組織反擊。一點(diǎn)點(diǎn)打開端口，在病毒進(jìn)攻的洪流中，從“門縫”里爭分奪秒地向所有路由器強(qiáng)行下發(fā)疫苗——修復(fù)漏洞的補(bǔ)丁，跟黑客手中的病毒爭奪路由器控制權(quán)。街頭巷戰(zhàn)，血肉模糊；

第三天，局勢逐漸得到控制，補(bǔ)丁才有機(jī)會大規(guī)模進(jìn)入路由器。然而此刻，這輪屠殺已經(jīng)結(jié)束，黑客像幽靈般悄然退去，戰(zhàn)場狼藉，白骨遍地。

“路由器激戰(zhàn)”的這三天時間里，雙方打得昏天黑地，用戶想正常上網(wǎng)簡直就是癡人說夢。德國電信只得宣布，因故不能上寬帶網(wǎng)的家庭，可以免費(fèi)獲得一張4G網(wǎng)卡免費(fèi)券，臨時用手機(jī)網(wǎng)絡(luò)“續(xù)命”。

11月29日，事態(tài)被初步控制，德國電信才騰出手來發(fā)表“重要聲明”，向用戶和全世界解釋了過去三天發(fā)生的事情，就像我剛才敘述的那樣。

德國電信聲明截圖，圖上這位表情尷尬的老表就是德國電信安全負(fù)責(zé)人。

然而所有人都清楚，這遠(yuǎn)不是戰(zhàn)爭的結(jié)束，而只是“期限不明的休戰(zhàn)”。

因?yàn)椋虑榈哪缓蠛谑?，竟然沒有一絲一毫浮出水面。他猛然發(fā)起攻擊，又突然抽手離開，留給世界一個駭人的暗影。人們望向天空，不知道“幽靈的審判”何時會再度降臨。

時光荏苒，歲月封塵。

2019年春天，中哥約一位網(wǎng)絡(luò)安全大神盆友吃飯。席間，這番歐洲往事再度鉤沉，如一條命運(yùn)的大河娓娓流淌。我猛然發(fā)現(xiàn)，面前的這個人，不僅是“德國大斷網(wǎng)”的目擊者，更可能是改寫了故事結(jié)局的人。

（1）網(wǎng)絡(luò)世界的蝙蝠俠

中哥一直以為，蝙蝠俠這種設(shè)定，只是漫畫電影里騙人的把戲。直到我認(rèn)識了李豐沛。

豐沛是個冷靜而沉默的人。雖然他自嘲是個中年胖子，但比起死肥宅，他的形象顯然更像個老辣的工程師。

乍一看上去，他悶騷的表情中藏了很多不能說的故事。而仔細(xì)一看。。。。還正是如此。

要想真正認(rèn)識豐沛，我們不如先來回憶另一段往事：

2016 年10月21日，美國東西海岸主要城市網(wǎng)絡(luò)突然遭到襲擊，包括 Twitter、Airbnb、Github、Reddit、Paypal 在內(nèi)的諸多網(wǎng)站訪問陷入癱瘓。這場史無前例的“美國大斷網(wǎng)”，被稱為網(wǎng)絡(luò)世界的“9·11”。

美國大斷網(wǎng)

塵埃落定，所有的證據(jù)都指向一個名為“Mirai”的病毒和它背后的黑客組織。只是，這個黑客組織非常隱秘，它的領(lǐng)頭人自稱“安娜前輩”。當(dāng)時人們除了知道這是日本羞羞動漫《沒有黃段子的無聊世界》中的一個“有故事的”主角之外，幾乎一無所知。

安娜前輩，大概就是這樣

經(jīng)過一年在公眾視野的銷聲匿跡，人們對這件懸案已經(jīng)逐漸淡忘之時，2017年底，F(xiàn)BI 突然猝不及防地在 Twitter 上宣布， Mirai 病毒的作者——三個美國的年輕黑客——已經(jīng)被繩之以法！隨之附贈的，是詳細(xì)的案件卷宗。

案件詳情我們等下再說。

一個有意思的地方在于：除了判決鏈接，這條 Twitter 還專門附了一則致謝，感謝了在抓捕 Mirai 作者過程中提供關(guān)鍵技術(shù)協(xié)助的商業(yè)公司。其中，中國公司 360 赫然位列其中。

Twitter 截圖：被老周轉(zhuǎn)發(fā)在了微博上

牛X四向的 FBI，居然專門感謝大洋彼岸的公司幫助自己抓到了驚天大案的主謀黑客。沒記錯的話，這應(yīng)該是史上首次。

其實(shí)在這次事件中，F(xiàn)BI 主要致謝的，是 360 公司中一個特殊而神秘的部門：360 網(wǎng)絡(luò)安全研究院。

你可不要被這個平淡的名字騙了。如果讓我給這個部門起名字，我肯定不會用這么土味兒的。我會把它稱為：全球網(wǎng)絡(luò)事務(wù)調(diào)查局。因?yàn)檫@個神秘的機(jī)構(gòu)有一個職責(zé)——調(diào)查世界上重要安全事件的脈絡(luò)和動向。

這個調(diào)查局的“局長”是大名鼎鼎的網(wǎng)絡(luò)安全大神宮一鳴，調(diào)查局的“副局長”，正是坐在我面前的李豐沛。

李豐沛

此刻，李豐沛正在大口把一只蝦塞進(jìn)嘴里。我們旁邊的那一桌閨蜜，決計(jì)想不到距離他們五米開外，就坐著一個鎮(zhèn)守網(wǎng)絡(luò)世界的“蝙蝠俠”。

很多人可能之前根本沒聽過神馬“360網(wǎng)絡(luò)安全研究院”，也不記得他們做過什么驚天偉業(yè)。但是，這恰如蝙蝠俠的劇情。哥譚市的人們也不是每天早晨能看到蝙蝠俠在早餐攤排隊(duì)吃豆?jié){油條，然而蝙蝠俠卻總能在人們遇到危險的時候，出手維護(hù)這個世界最后的正義，然后事了拂衣去，深藏功與名。

實(shí)際上，就在“美國大斷網(wǎng)”發(fā)生之前，研究院的“探員們”已經(jīng)捕捉到了黑客的動向，并且向全世界發(fā)出了預(yù)警。只是誰都沒想到，這次攻擊來得這么生猛，這么挑釁，這么無所顧忌。

而在“美國大斷網(wǎng)”發(fā)生之后，探員們通過對數(shù)據(jù)進(jìn)行分析，得出了重要的證據(jù)，和 FBI、其他安全公司以及一位獨(dú)立調(diào)查記者克雷布斯一起最終定位了黑客“安娜前輩”的真身和藏身之處，神奇地推進(jìn)了劇情的進(jìn)展。

站在天空俯瞰人間的時間軸，核爆一般的美國大斷網(wǎng)，正發(fā)生在今天的主線故事——德國電信遭受閃擊——之前一個月。這兩起賽博世界的“恐怖事件”深深動搖了西方世界網(wǎng)絡(luò)空間的信心。更可怕的是，彼時兩起攻擊的始作俑者都未浮出海面。

這次德國大斷網(wǎng)，它完全無跡可尋嗎？至少李豐沛和他所在的“網(wǎng)絡(luò)事務(wù)調(diào)查局”不這樣覺得。

（2）蛛絲馬跡

凡事皆有因果。

2016年11月7日，德國電信被攻擊前三周，賽博空間里發(fā)生了一件“小事”。

那一天，獨(dú)立安全研究員 Kenzo 突然在自己的博客上發(fā)出了一條“怒帖”，披露了一個愛爾蘭電信給用戶使用的路由器中存在一個大漏洞。中哥給你截了一張?jiān)N的圖：

具體技術(shù)細(xì)節(jié)就不說了，總之，這個漏洞可以通過 7547 端口讓黑客遠(yuǎn)程控制一臺路由器。（記住這個數(shù)字，7547，等會兒有用。）

公平來講，這個漏洞的威力相當(dāng)之大，如果心懷不軌的黑客看到這個漏洞詳情，就有可能利用它來制作病毒，控制相應(yīng)型號的路由器。

那么，這個漏洞主要可以控制那個品牌的路由器呢？是一家***企業(yè)合勤生產(chǎn)的路由器。而這個路由器最大的采購商之一，正是德國電信。

就是這貨：合勤路由器

說到這，你可能會有一個大疑問：為什么安全研究員發(fā)現(xiàn)漏洞之后，沒有向路由器生產(chǎn)廠家反饋，而是直接公布了出來呢？這豈不是太不負(fù)責(zé)任了嗎？

有道理，加十分。

李豐沛猜測，很可能 Kenzo 確實(shí)聯(lián)系了路由器的購買者愛爾蘭電信，甚至聯(lián)系了路由器原始廠家合勤，但是，并沒有獲得積極的反饋，一怒之下他才選擇將漏洞公之于眾。

從他的“怒帖”中可以看到這樣一句話：我認(rèn)為應(yīng)該有漏洞獎勵機(jī)制，可以讓安全研究員去更有動力尋找愛爾蘭電信路由器的漏洞。

他還配了這張圖，可以說相當(dāng)氣了。（愛爾蘭電信，WTF，修一下你們的路由器會死嗎？）

Kenzo 的本意是督促路由器廠商快速修復(fù)漏洞，他似乎沒有預(yù)料到，自己將成為歷史爆炸的引信。

此事先按下不表。

2016年9月30日，德國電信被攻擊前兩個月，賽博空間還發(fā)生了另一件事。

那就是，彼時還逍遙法外的大黑客“安娜前輩”為了混淆視聽，在發(fā)動“美國大斷網(wǎng)”之前，把臭名昭著的 Mirai 病毒源代碼公開了。

在《黑客的滑鐵盧——美國大斷網(wǎng)全紀(jì)實(shí)》里，中哥曾經(jīng)介紹過 Mirai 的原理，為了行文順暢，這里再花點(diǎn)時間解釋一下：

Mirai 并不是你想象中的“計(jì)算機(jī)病毒”，而是專門攻擊你的攝像頭、路由器這類智能硬件的“物聯(lián)網(wǎng)病毒”。

它的工作原理是：通過漏洞感染成千上萬臺攝像頭和路由器，黑客會把被感染的設(shè)備組成“僵尸網(wǎng)絡(luò)”，聽他調(diào)遣。

你可以想象，互聯(lián)網(wǎng)世界本來的運(yùn)行方式是百川歸海，各種數(shù)據(jù)訪問就像江河溪流那樣有序流淌。但黑客控制了大量設(shè)備組成僵尸網(wǎng)絡(luò)之后，就變成了有法術(shù)的“白娘子”，兩指一伸就可以把錢塘江水引到空中，用數(shù)據(jù)流量來一場“水漫金山”。即使它的攻擊目標(biāo)只是法海一人，但攻擊本身卻會造成杭州百姓生靈涂炭。

Mirai 病毒源碼被公布之后，引發(fā)了一場賽博空間的地震。

李豐沛和他的“探員”們在短時間內(nèi)檢測到了幾十種 Mirai 的變種，它們都是各路黑客根據(jù)那份公開代碼改寫而成的，各自具有不同的攻擊能力，就好像一把 AK47，換上了不同特性的子彈。這種裂變的速度，堪比人類實(shí)驗(yàn)室里最危險的“超級細(xì)菌”。

事態(tài)由此開始失控。

Mirai 和變種在全球的蔓延狀況。

2016年11月27日，美國大斷網(wǎng)發(fā)生一個月之后，李豐沛和團(tuán)隊(duì)突然監(jiān)控到一個 Mirai 變種迅速崛起，它在瘋狂地掃描所有設(shè)備的7547端口，試圖把全世界的合勤家用路由器（以及少量受影響的其他品牌）都變成自己僵尸網(wǎng)絡(luò)的一部分。

當(dāng)時我們通過散布在全網(wǎng)的探測器看到，全球一天新增了16000次7547端口掃描。這正說明一個問題——很多路由器都已經(jīng)被感染，加入“僵尸大軍”和他們一起開始對外掃描。這個數(shù)字，已經(jīng)占到了當(dāng)天全球端口掃描的 Top5，我們不可能注意不到了。

他說。

“7547”這個數(shù)字，李豐沛再熟悉不過了。結(jié)論很明顯：之前 Kenzo 公布的漏洞，已經(jīng)被黑客當(dāng)作子彈安裝在了 Mirai 這把槍上，開始瘋狂屠殺手無寸鐵的路由器。黑客最終會做出什么，誰都無法預(yù)料。李豐沛和團(tuán)隊(duì)馬上撰寫報(bào)告，準(zhǔn)備對全世界發(fā)出預(yù)警。

某一時刻，掃描 7547 端口的行為指數(shù)型增長。

（截圖來自 360 網(wǎng)絡(luò)安全研究院的博客）

花了三天時間收集信息，撰寫報(bào)告。報(bào)告發(fā)出時已經(jīng)到了北京時間11月29日?？吹綀?bào)告，其他部門的同事找到李豐沛：“你們寫的這個病毒，就是造成德國大斷網(wǎng)的病毒嗎？”

“什么？德國大斷網(wǎng)？”

他這才發(fā)現(xiàn)，過去一天自己團(tuán)隊(duì)沉迷于撰寫報(bào)告，忽略了查看最新新聞。原來，就在20個小時以前，自己監(jiān)視的病毒都沒來得及形成僵尸網(wǎng)絡(luò)進(jìn)行對外攻擊，在傳染的過程中就已經(jīng)造成了不可挽回的后果——德國大斷網(wǎng)。

（3）BestBuy 浮出水面

卡塔林是一位專門追蹤黑客的記者。

2018年以前，他曾經(jīng)供職于科技網(wǎng)站 BleepingComputer，2018年之后，他轉(zhuǎn)戰(zhàn)另一家科技網(wǎng)站 ZDNet。

卡塔林

2016年11月，他在網(wǎng)上看到了一個奇異的帖子：

我們現(xiàn)在出租有400000個節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)，可以幫助你攻擊任何人，價格雖然不便宜，但是絕對物超所值！

四十萬個節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)意味著什么呢？意味著只要黑客一聲令下，散落在全球的四十萬個攝像頭和路由器就會同時向一個點(diǎn)發(fā)起流量攻擊。如果對方?jīng)]有撒謊，那么這支僵尸大軍幾乎可以擊垮任何一個小國家的主干網(wǎng)絡(luò)通路。這是一個危險的核武器。

卡塔林壯著膽子，聯(lián)系到了僵尸網(wǎng)絡(luò)的賣家。收到郵件回復(fù)的一瞬間，他看到了對方的落款——黑客圈赫赫有名的大黑客 BestBuy。

這就是 BestBuy 放出的廣告貼。

沒人知道 BestBuy 究竟是誰，人們只知道他經(jīng)常活躍在黑客圈，制作一些精良的攻擊工具。例如，2015 年網(wǎng)絡(luò)上曾經(jīng)“熱賣”一款針對美國軍方和企業(yè)的惡意軟件 GovRAT，讓美國人焦頭爛額，它的作者就正是 BestBuy。

應(yīng)該這樣說，BestBuy 在地下黑客圈子的信譽(yù)相當(dāng)好，主顧對他的評價一貫是：你辦事，我放心。

卡塔林試著套出 BestBuy 的一些信息，但是 Bestbuy 擺出一副傲嬌的語氣：“如果你買50000個節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)，每天攻擊一小時，兩個禮拜的價格大概兩三千美金。什么？想試用，那不可能。買得起就買，買不起就滾?！?/p>

卡塔林滾了，然后把所有得到的信息，寫成一篇文章《天了嚕，現(xiàn)在你TM能租到四十萬節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)啦》的文章PO到網(wǎng)上。

卡塔林的揭黑文章截圖

對于 BestBuy 來說，記者純粹是去添亂的，但是這件事的升溫，讓真正的主顧同樣看到了這個廣告。

生意來得如此之快。把地球儀輕輕向下?lián)軇訋资畟€經(jīng)度，歐洲以南，你可以從西非海岸找到一個小國利比里亞。

2016年11月-12月，利比里亞電信運(yùn)營商 Lonestar 突然遭受來路不明的巨大流量攻擊。每天一小時，持續(xù)兩個月，比上班都準(zhǔn)時。

利比里亞遭受攻擊

利比里亞是個人口不到北京四分之一的小國，他們哪里見過這種陣仗。運(yùn)營商酸爽得欲仙欲死，累計(jì)花了六十萬美元，才勉強(qiáng)讓自己的網(wǎng)絡(luò)茍延殘喘地提供服務(wù)。他們一邊肝兒疼地?zé)X做防護(hù)，一邊咬牙發(fā)狠要把攻擊兇手燉了。

而就在這一切發(fā)生的時候，遠(yuǎn)在中國，李豐沛和團(tuán)隊(duì)正緊急在僵尸網(wǎng)絡(luò)里布置“無間道節(jié)點(diǎn)”，默默為這個僵尸網(wǎng)絡(luò)的動向“懸絲診脈”。

當(dāng)時，我們用一些特殊設(shè)備偽裝成僵尸，于是就打入了敵人內(nèi)部，拿到了非常珍貴的攻擊數(shù)據(jù)。我們證明了一個事實(shí)：這次持續(xù)將近兩個月的攻擊，就是 BestBuy 的所做所為。

李豐沛斬釘截鐵地說。

幾乎同時，德國大斷網(wǎng)爆發(fā)。

李豐沛和團(tuán)隊(duì)分析了 BestBuy 用來攻擊德國和利比里亞的病毒。他們終于確認(rèn)，這是 Mirai 病毒最重要的變種之一。

利比里亞遭受攻擊時候的新聞截圖

如果說技術(shù)無罪的話，Mirai 病毒的代碼可以說相當(dāng)精巧，可以到達(dá)“工藝品”的程度。而它的諸多變種中，只有 BestBuy 寫的這個能夠達(dá)到原著的水準(zhǔn)。

一個疑問在李豐沛心中升起。

由于 Mirai 的作者“安娜前輩”已經(jīng)把源代碼公布在網(wǎng)絡(luò)上，那么，BestBuy 難道就是 Mirai 的原作者“安娜前輩”的另一個名字嗎嗎？還是說“BestBuy”和“安娜前輩”是獨(dú)立的兩個人呢？

當(dāng)年12月，李豐沛在清華大學(xué)的一次演講中提到了自己的困惑，并且給出了自己的判斷。他對聽眾說：“我懷疑，BestBuy 就是 Mirai 的原作者?！?/p>

但事實(shí)果然如李豐沛猜想的那樣么？

在 BestBuy 通過 Mirai 變種制作的僵尸網(wǎng)絡(luò)活躍期間，360 網(wǎng)絡(luò)安全研究院又分析出了它的一個“精妙之處”：

一般的僵尸網(wǎng)絡(luò)，黑客用來控制它的“主控域名”都是固定的，而 BestBuy 這個，“主控域名”是動態(tài)的，也就是說，即使安全人員追蹤到主控域名，第二天，這個域名又發(fā)生了變化。用狡兔三窟來形容 BestBuy，應(yīng)該不為過。

但是，BestBuy 犯了一個特別小的錯誤，在一個隨機(jī)數(shù)的位置，本該把下載的源碼改成自己設(shè)置的密文，結(jié)果他忘記修改，這會導(dǎo)致病毒作者的隱匿程度大大減少，360 的偵探們正是通過這個小 Bug，追蹤到了更多蛛絲馬跡。

偵探們把這個發(fā)現(xiàn)緊急寫成報(bào)告，發(fā)布在自己的 Blog 上，本來只是想提醒全球網(wǎng)絡(luò)安全社區(qū)注意到這個重要細(xì)節(jié)，然而，意想不到的事情發(fā)生了。

就在 Blog 發(fā)出四個小時，李豐沛在網(wǎng)絡(luò)中看到了作者放出了自己病毒的最新版，在 360 指出的隨機(jī)數(shù)錯誤位置，BestBuy 把密文修改成了“iloveuthreesixty”（我愛你 360）。

360 網(wǎng)絡(luò)安全研究院院長宮一鳴的微博貼出了這張圖。

看到這段代碼，李豐沛忍不住笑了，這是一種技術(shù)大牛之間的“眉來眼去”。對方顯然知道李豐沛和團(tuán)隊(duì)能夠看到這段代碼，高手過招，惺惺相惜。至此，雙方雖然沒有正面交鋒，但彼此都已經(jīng)確認(rèn)了眼神，網(wǎng)線那端是個難纏的對手。

全球安全人員圍追堵截，BestBuy 在夾縫中全力隱匿。

看到這里，你可能會問：幾個月來，為什么一直是商業(yè)公司在追查黑客的動向，最該追蹤黑客肉身的警方在做什么呢？別急，重磅大咖馬上登場。

（4）圍剿！圍剿！

在前面，中哥曾經(jīng)提到過“全球網(wǎng)絡(luò)安全社區(qū)”。

實(shí)際上，這不是一個政治正確的泛指，而是在這個世界上，真有一個“安全社區(qū)”，它的名字恕中哥不便透露，但是它的組成人員卻是供職在 FBI、各國政府情報(bào)部門、全球頂尖公司的幾百位安全大神。

這個組織采用的是邀請制，只有“長老會”一致同意，才能吸納新成員進(jìn)入。（當(dāng)然，360網(wǎng)絡(luò)安全研究院的大神們也在長老會里，別說是我說的。。。）

如你所想，沒有成員會從“安全社區(qū)”中盈利。他們要的一切，僅僅是一個安定平和的網(wǎng)絡(luò)世界。

2016年12月，“安全社區(qū)”的某位成員聯(lián)系到 360 網(wǎng)絡(luò)安全研究院，要走了一個關(guān)鍵資料——BestBuy 僵尸網(wǎng)絡(luò)攻擊利比里亞的證據(jù)。至于對方要這個資料用于什么用途，按照慣例，李豐沛不便多問。

然而，從網(wǎng)絡(luò)空間的“脈象”來看，自利比里亞一役之后，BestBuy 似乎開始收手。與此同時，時間邁進(jìn)到2017年，另一個 Mirai 的新變種——Satori——開始異軍突起。李豐沛和他的探員們又緊急把研究重心放在 Satori 身上。（有關(guān) Satori 的曲折故事，我們下一篇文章再講。）

就在 Satori 剛開始肆虐的 2017年8月，英國警方猝不及防地發(fā)布公告：著名大黑客 BestBuy 落網(wǎng)！

看到了么，無論是哪國，警方都輕易不出手，一旦出手就是“一擊致命”。

各大網(wǎng)絡(luò)安全新聞網(wǎng)站沸騰，全世界的聚光燈瞬間射向倫敦。

根據(jù)庭審記錄，BestBuy 是英國人，他的原名叫做 Daneil Kaye。是日，他剛剛從利比里亞飛往英國的飛機(jī)中走出來，直接在機(jī)場被NCA（國家犯罪局，英國版的 FBI）按倒在地。彼時，他的手提行李箱里裝著一萬美金。

Bestbuy 本尊Daneil Kaye

經(jīng)過一年的淡忘，德國民眾早就不關(guān)心那個當(dāng)年造成自己斷網(wǎng)的罪魁禍?zhǔn)琢?。他們更關(guān)心真實(shí)世界汽油漲價，難民風(fēng)潮，英國脫歐。

聽到這個消息，最振奮的人反而是李豐沛。

前一段時間，我特別悲觀。

我是個做網(wǎng)絡(luò)安全防御的人，我知道全世界的網(wǎng)絡(luò)安全防御工事的堅(jiān)固程度。在我把玩 Mirai 病毒的時候，我比誰都清楚，這個惡魔稍加調(diào)教，就可以不費(fèi)吹灰之力攻下世界上任何一個網(wǎng)站，任何一個。

這樣危險的病毒，居然被邪惡的黑客公布在了網(wǎng)絡(luò)上。我們雖然盡力把證據(jù)提交給了“全球網(wǎng)絡(luò)安全社區(qū)”，但是病毒原作者，甚至連所有改寫這個病毒用來作惡的人，居然很長時間無一落網(wǎng)。我總是在想，難道這個世界已經(jīng)是正不勝邪了嗎？

自從 BestBuy 在機(jī)場被捕的一瞬間，我的信心就開始重建。這對于全世界的網(wǎng)絡(luò)安全人來說，是巨大的鼓舞。它標(biāo)志著我們在邪惡面前，并不是束手無策。

他看著我，一字一頓地說。

BestBuy 在英國被捕之后，馬上被引渡到德國，他被指控非法控制他人設(shè)備，攻擊德國電信旗下的路由器，同時，他也承認(rèn)了自己拿了利比里亞一家運(yùn)營商的黑錢，攻擊其競爭對手 Lonestar 的事實(shí)。

在德國，他被判處18個月緩刑，之后，他又被火速拉回英國，開始了在英國的審判。

就在 BestBuy 等待本國審判結(jié)果之時，2017年12月，美國司法部又傳來捷報(bào)，Mirai 的原始作者在美國落網(wǎng)，并且公布了 Mirai 作者制作病毒前后詳實(shí)的卷宗。

媒體抓拍到“安娜前輩”（手里拿紙的那位，真名Paras Jha）和他的代理律師走出法庭

原來，Mirai 的三個作者是同一家大學(xué) Rutgers 學(xué)校的畢業(yè)生。他們熱愛安全技術(shù)，畢業(yè)之后共同成立了一家網(wǎng)絡(luò)安全公司，為客戶提供“抵御網(wǎng)絡(luò)攻擊”的服務(wù)。這本來應(yīng)該是個大學(xué)生創(chuàng)業(yè)的勵志故事，沒想到三位大學(xué)生創(chuàng)業(yè)中途開始跑偏。。。。

心生歹念的他們開發(fā)了 Mirai 病毒，組建自己的僵尸網(wǎng)絡(luò)，暗地里攻擊自己的母校，然后再把抵御攻擊的服務(wù)賣給母校，可謂“兩手都要抓，兩手都要硬”，生意是相當(dāng)?shù)鼗鸨?。。?/p>

因?yàn)樗缸镄?，三名主犯杰哈、懷特和諾曼分別被判五年緩刑，2500小時的社區(qū)服務(wù)，被責(zé)令歸還12.7萬美元非法所得。（有關(guān) Mirai 作者的故事，還是請大家打開《黑客的滑鐵盧——美國大斷網(wǎng)全紀(jì)實(shí)》來查看，此處不贅述。）

2019年1月13日，經(jīng)過了一年多的審判，英國國家犯罪局終于對外發(fā)布了 BestBuy 的判決結(jié)果。

這位名為 Daniel Kaye 的 30 歲小伙，因?yàn)榫W(wǎng)絡(luò)犯罪被判處兩年零八個月監(jiān)禁，加上他之前已經(jīng)被羈押的一年多時光，他將總共為自己的犯罪付出四年牢獄時光。

BestBuy 和 Mirai 原作者的相繼落網(wǎng)，讓李豐沛明確了三件事。

第一，BestBuy 和 Mirai 原作者是兩撥人，這證實(shí)了他之前的猜想是錯誤的，也證明了在網(wǎng)絡(luò)世界，想要從中攫取非法利益的人并不少。

第二，無論是一撥人還是兩撥人，只要網(wǎng)絡(luò)世界出現(xiàn)逆流，那些最頂尖的有識之士都會不計(jì)回報(bào)，齊心協(xié)力保衛(wèi)這個世界。

第三，縱然網(wǎng)絡(luò)世界無遠(yuǎn)弗屆，縹緲無形，但只要有人膽敢作大惡，無論天涯海角，他必將伏法。

（5）萬物顯形

有件事，你可能沒意識到。

自從 Mirai 病毒被作者公布在網(wǎng)上，一個潘多拉魔盒就被打開了?，F(xiàn)在 Mirai 的變種已經(jīng)無計(jì)其數(shù)。這是一場發(fā)生在網(wǎng)絡(luò)空間里真正的“生化危機(jī)”。

“如今，給 Mirai 病毒的變種分類，都成為了一個專門的學(xué)科，可見它有多可怕。”李豐沛吐槽。

回望過去，在多如牛毛的變種中，尤以三個破壞力最甚：

安娜前輩”和他的兩個朋友所寫的原版 Mirai、

BestBuy 用來攻擊德國電信和利比里亞電信公司的變種 Mirai、

某個美國黑客編寫的極具殺傷力的 Mirai 變種 Satori。

如今，前兩組黑客悉數(shù)伏法，只剩下 Satori 的作者。2018年8月，聯(lián)邦調(diào)查局又傳來喜訊，一個代號為 Nexus Zeta 的黑客因?yàn)樯嫦又圃?Satori 病毒而被起訴。

圖片來自著名調(diào)查記者克雷布斯的報(bào)道。圖中就是 Nexuz Zeta（真名 Schuchman）。

雖然目前 FBI 尚未公布任何證據(jù)和庭審結(jié)果，但是李豐沛相信，三大 Mirai 變種作者最終的全軍覆沒，就在眼前。

這是正義世界的一場完勝，縱然它有些遲到，但謝天謝地它沒缺席。

“你怎么評價你的對手 BestBuy，也就是 Daniel Kaye？”我突然好奇，問李豐沛。

“聰明、勤奮，有幽默感?！彼f。

“這是一個相當(dāng)高的評價?！背龊跷业囊饬?。

“在我們報(bào)告發(fā)出僅僅四個小時，他就能更新一版病毒出來，說明他時時刻刻在監(jiān)視著對手的動態(tài)，而且我們是一個團(tuán)隊(duì)十幾個人，而他只有孤軍奮戰(zhàn)的一個人。既要讀新聞，又要寫代碼，還要在代碼里寫上‘iloveuthreesixty’和我們眉來眼去。我知道這話有點(diǎn)老套，但我還是想說，這個人可惜了。”李豐沛說。

“也許這些作惡的黑客都是聰明又勤奮的。”我說。

“沒錯，我見到的很多中國小黑客也是這樣。他們有很好的天賦，有能力在陽光下賺錢。不幸的是，在這之前，黑道找到了他們。他們嘗過了‘快錢’的滋味，就再也回不來了?！彼f。

這是 BestBuy 的 Facebook 主頁。對愛自己的人解釋自己的一切，也許是艱難的。

“也許在‘快錢’的誘惑面前，根本沒有人能守住自己?！蔽覈@氣。

“人性本善，只要有機(jī)會養(yǎng)活自己，大多數(shù)人會選擇做一個好人。幾十年我的所見，讓我相信這一點(diǎn)。”他說。

“在中國，很多天才黑客往往生長在小鎮(zhèn)，就算性本善良，他們真的有機(jī)會遇到賺錢的正道嗎？”我想起了不久前，剛剛在國內(nèi)掀起巨大波瀾，又瞬間被警方逮捕的“微信勒索病毒”作者，26歲的年輕黑客。

“微信勒索病毒”作者 LSY

“我們并不是全無機(jī)會。當(dāng)年的補(bǔ)天、烏云這些漏洞平臺都在嘗試做這件事。他們試著告訴所有的網(wǎng)絡(luò)安全愛好者，每個人都有平等的機(jī)會，也值得去拿陽光下的錢。至于最終黑客們做什么選擇，那是他們自己的事，我們要做的，至少是告訴他們有選擇的可能。這很重要。”他說。

“德國大斷網(wǎng)”的故事走到了封底，成為了維基百科的一個詞條。所有與之相關(guān)的凄厲和恐懼，都被封存進(jìn)了歷史檔案。

所有曾在風(fēng)浪中為人類互聯(lián)網(wǎng)扶穩(wěn)航向的安全大神，如以往一樣，沉默在暖陽中，無人相識。

直到下一次危機(jī)出現(xiàn)，我們才能看到他們的身影。

造成德國全境大斷網(wǎng)的一場賽博大戰(zhàn)落下帷幕，所有鮮活的故事最終都蜷縮在維基百科三行的詞條解釋中，不免讓人唏噓。

魯迅說，真的猛士，敢于正視淋漓的鮮血。

那些黑客們并不是猛士。當(dāng)鮮血只存在于你的想象中，你會無所畏懼。當(dāng)你正視著鮮血從自己身體里迸濺出來，最深的恐懼才會襲來。

但生活正是如此，無論你是否相信，總有那么一刻，陽光剛猛，萬物顯形。猛回頭，來路已成深淵。

關(guān)于 BestBuy，我記得 BBC 報(bào)道中的一個細(xì)節(jié)：

在被送進(jìn)監(jiān)獄時，這位冷酷的黑客突然哭了起來。