22歲少年破解史上最嚴重網路攻擊，拯救全球網際網路，三個月後卻被FBI逮捕

大資料文摘出品

來源：wired

編譯：牛婉楊

2017年，一位名叫Marcus Hutchins的少年從有史以來最嚴重的網路攻擊事件“WannaCry 勒索病毒”中拯救了網際網路。

如果你是個geek，那麼你對WannaCry這個名字一定不陌生， 這是一種可以自行傳播的病毒軟體，透過網際網路散佈到了世界的各個角落，摧毀了數十萬臺計算機中的資料。正是Hutchins找到並啟用了其程式碼中隱藏的死亡開關，進而遏制了 WannaCry的進一步蔓延。

沒想到，三個月後，這位拯救了網際網路的天才少年卻被戴上了手銬。

一開始Hutchins以為警察只是想了解自己在WannaCry上的工作，但當他們問到了一個名為“Kronos”的程式之後，他意識到，自己可能回不了家了。

Marcus Hutchins從小就痴迷計算機，他與同齡人最大的不同是，Hutchins對計算機超乎尋常的興趣和天分。

13歲生日時，Hutchins的父母同意給他買一臺個人電腦，但他要求購買零件，自己組裝。這臺電腦很快就成了他的“寶貝”。

得到自己的計算機後不到一年，他開始瀏覽初級駭客網路論壇——一個致力於在當時流行的即時通訊平臺 MSN 上搞破壞的論壇。他對駭客有了初步的瞭解，在他眼中這些駭客“太酷了，程式設計居然能做這種事。”他也想這麼做。

於是14歲那年，他在論壇上提交了自己做的一個簡單的密碼竊取軟體。只要將其安裝在某人的電腦上，它就能直接拉取受害者儲存在 IE 瀏覽器中的網路賬戶的密碼。

後來，Hutchins又在 HackForums 社群接觸到了殭屍網路，即成百上千臺會遵照該駭客的指令辦事的被惡意軟體感染的計算機。年僅15歲的Hutchins很快就在那個論壇上吹噓自己執行著一個包含 8000 臺計算機的殭屍網路，其中大多數都是他透過 BitTorrent上傳的虛假檔案劫持的。

不僅如此，Hutchins還開始了自己的事業。他開始租用伺服器，然後以按月收費的方式向 HackForums 的成員出售網路託管服務。

在當時，他意識不到這些屬於犯罪。

然後16歲那年，他遇到了令他陷入噩夢般生活的人——Vinny。

Vinny聯絡到了他，他給Hutchins的工作任務是：一個多功能且易於維護的 rootkit，以便他能在 Exploit.in 和 Dark0de 等比 HackForums 更加專業的駭客市場上進行銷售。而且回報不是預付款，而是一半的銷售利潤。

他們將這款產品稱為 UPAS Kit。

Vinny 不同於Hutchins曾遇到過的那些駭客，他更專業，口風更緊，從不談論有關個人生活的任何細節。

但Hutchins卻並未對自己的個人生活那麼守口如瓶。於是 Vinny 要了Hutchins的地址和出生日期。他說要給Hutchins送一個生日禮物。Hutchins提供了這兩個資訊，但很快他就後悔了。

Hutchins 17 歲生日那天，一個包裹被郵寄到了他父母家，裡面裝著一包毒品。

9個月後，Hutchins完成了 UPAS Kit，並在 2012 年夏季將這款 rootkit 上市銷售。Vinny 開始以比特幣向Hutchins支付 UPAS Kit 的佣金，數額通常等值數千美元。

UPAS Kit 很成功，隨後 Vinny要求Hutchins幫助開發 UPAS Kit 2.0。在新版本中， Vinny希望可以記錄受害者鍵盤輸入和監控受害者顯示器的新功能。最重要的是，還有向受害者觀看的頁面注入虛假文字欄位或其它內容的功能。

Hutchins說，最後這項要求讓他感到不安。在他看來，注入虛假文字欄位的目的很明確：銀行詐騙。這在Hutchins看來是很嚴重的犯罪。

在過去幾年中，Hutchins一直在網路犯罪的道路上小步前進，卻不知不覺已經跨過了自己曾警惕的紅線。他就這樣一步步走向深淵，無法抗拒 Vinny 的要求，因為 Vinny 掌握著他大量的個人資訊。

儘管如此，Hutchins還有一個選擇——退出。然而這意味著他也不會再收到佣金。他將承受所有犯罪風險，同時沒有任何回報。

他還是選擇幫助 Vinny 繼續維護銀行惡意軟體。

後來，Vinny改名為Kronos。最終，Kronos 成為了史上最臭名昭著的銀行木馬病毒之一。

2017年5月12日中午，WannaCry 病毒首次出現在了英國皇家倫敦醫院。

網路安全研究人員將這個蠕蟲病毒命名為“WannaCry”，得名於其在加密檔案時新增在檔名稱後的 .wncry 副檔名。WannaCry 在加密計算機時還會使用名為 EternalBlue 的一套強力程式碼傳播自身。EternalBlue 是由一組名為 Shadow Brokers 的駭客從國家安全域性（NSA）竊取出來並公佈在網路上的，老舊的 Windows 計算機很容易被其感染。

短短一個下午的時間，該病毒就破壞了將近 25 萬臺計算機的資料，預估損失在 40 億-80 億美元之間。而且情況似乎還將繼續惡化。

當天下午2:30 左右，Hutchins坐回電腦前才看到這場網際網路大災難。

幾分鐘後，一個代號Kafeine的駭客朋友給Hutchins傳送了WannaCry的程式碼副本。來不及吃午餐，Hutchins就開始剖析這些程式碼。

首先，他在隔離的虛擬機器中執行了這個程式。然後很快他就注意到其在執行加密時會向一個看起來隨機生成的網址傳送一條查詢資訊：

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

很顯然，這個病毒採用了“命令-控制”模式，即某個地方的伺服器能給被感染的計算機傳送控制指令。Hutchins將這個網址放到瀏覽器中，卻發現根本沒有網站。

因此他訪問了域名註冊商 Namecheap，在下午 3:08 用 10.69 美元註冊了這個地址。Hutchins希望此舉能從WannaCry創造者那裡奪回部分受害計算機的控制權。或者他至少可透過 sinkholing（沉洞）技術獲知受害計算機的數量和位置。

當Hutchins將這個域名定向到 Kryptos Logic 的一組伺服器上後，就立馬收到了全世界數千臺新被感染的計算機的連線。Hutchins在 Twitter 上通報了這一資訊，引起了世界各地的研究者、記者和系統管理者的關注。

下午 6:30，Hutchins的駭客朋友 Kafeine 分享了一條推文給他。這條讓Hutchins感到驚訝的推文來自安全研究者 Darien Huss：“攻擊失敗，因為該域名已沉洞。”

換句話說，由於Hutchins的域名首先上線，因此 WannaCry 感染雖然還會繼續，但並不會真正造成任何新的危害。這個蠕蟲病毒似乎就這樣失去功能了。

他從椅子上跳了起來，在臥室裡開心地跳來跳去。然後他做了一件非同尋常的事：他上樓把這件事告訴了自己的家人。

轉眼之間，他的推特粉絲就超過了10萬。有在當地酒吧裡認出他的人請他喝飲料，感謝他拯救了網際網路，還有一家當地餐廳贈送了他一年的免費披薩。他的父母才終於知道兒子做了什麼，並深深地為他感到驕傲。

但直到 WannaCry 爆發三個月後的 Defcon 大會，Hutchins才開始真正接受自己“網路安全領域巨星”的身份。

警察終究找到了他。

他確實運營過非法託管服務，維護過一個殭屍網路，寫過惡意軟體。但即便如此，仍然有很多人支援他。

但Hutchins卻被自己的負罪感苦苦折磨，他甚至想過自殺。

審判他的法官已經77歲了，當了30年法官，卻沒有遇到一位像Hutchins一樣的罪犯。

法官說他認為Hutchins是一位被定罪的罪犯，也是一位網路安全專家，而且在接受正義的裁決之前就已經走向了正途。法官權衡了監禁Hutchins的威懾價值以及這位年輕駭客的天才頭腦的價值。最終，這位法官認為Hutchins值得完全特赦，但法院無權這麼做。

最終，Hutchins被判一年的刑期，可獄外服刑。

他簡直不敢相信。在首次被捕的兩年之後，他獲得了自由。

儘管如此，Hutchins的負罪感仍舊沒有完全放下。但他終於可以將過去的一切放在身後，專注於自己的工作了。

Hutchins表示，“我不希望被貼上‘WannaCry’或‘Kronos’的標籤，我只希望成為一個能對世界有所幫助的人。”

相關報導：