數(shù)字黑手黨始末：僵尸網(wǎng)絡Kelihos背后的傳奇

原標題：數(shù)字黑手黨始末：僵尸網(wǎng)絡Kelihos背后的傳奇

幾天前，俄羅斯黑客Peter Levashov（以下簡稱里瓦索）在美國聯(lián)邦法庭當堂認罪，包括欺詐、共謀、計算機犯罪和身份信息盜竊等數(shù)項罪名。自從2017年四月于西班牙被逮捕，經(jīng)過一年多艱辛漫長的引渡、訴訟，最后以里瓦索失敗告終。據(jù)分析，38歲的里瓦索很可能面對著長達52年的牢獄之災。

至此，這位在國際間活躍了十余年，創(chuàng)立了臭名昭著的Kelihos僵尸網(wǎng)絡，影響了數(shù)十萬臺設備的“數(shù)字黑手黨”、“垃圾郵件之王”，終于傳奇落幕。

暗網(wǎng)下的“僵尸操控者”

如果在迪拜的高級酒店，或瑞士的網(wǎng)紅餐廳看到了舉止有禮的俄羅斯中產(chǎn)之家，我們多半會認為他們來自俄羅斯科技新經(jīng)濟崛起的那一撮人，或是某個前蘇聯(lián)高官的后代。實際上，那些流連于五星酒店和世界名勝的俄羅斯新中產(chǎn)們，口袋里的鈔票可能來自暗網(wǎng)上的交易。

里瓦索的合作者，美國最大的垃圾郵件運營商拉爾斯基評價他說，“里瓦索的財富讓人難以想象，他幾乎不用工作，每天出沒在芬蘭的漁屋或迪拜的高級酒店?！?/p>

讓里瓦索可以躺著賺錢的，是一種名為僵尸網(wǎng)絡的病毒技術(shù)。所謂僵尸網(wǎng)絡，就是通過互聯(lián)網(wǎng)傳播病毒程序，在被感染的設備中就會形成一個通道接收攻擊者的指令，被感染的設備多了，就形成了一個一對多的控制網(wǎng)絡，如同一個人操控著一群“僵尸”。

被僵尸網(wǎng)絡感染時，使用者往往毫無察覺。這些僵尸網(wǎng)絡一方面被用來發(fā)送海量垃圾郵件、或發(fā)布大規(guī)模網(wǎng)絡攻擊，另一方面這些設備中保存的信息也都被攻擊者獲知。

前文提到的Kelihos僵尸網(wǎng)絡，就是里瓦索的巔峰之作。美國司法部首席檢察官助理在聲明中提到，Kelihos 感染了超過 10 萬臺設備，每天發(fā)送數(shù)十億封垃圾郵件。我們看到的那些詐騙郵件、騙錢的釣魚鏈接，都是來自這樣的僵尸網(wǎng)絡。

不過作為僵尸網(wǎng)絡的底層搭建者，里瓦索并不依靠網(wǎng)絡詐騙賺錢，他像運營一個基站一樣，對外“出租”僵尸網(wǎng)絡，有償提供郵件發(fā)送服務。法庭記錄表示，里瓦索的僵尸網(wǎng)絡每發(fā)送100萬條垃圾收費200-500美元。也就是說每天能發(fā)送數(shù)十億封郵件的僵尸網(wǎng)絡，很可能一天就有上萬美金的收益。

除了僵尸網(wǎng)絡帶來的收入，里瓦索還經(jīng)常在俄羅斯暗網(wǎng)上批量出售通過僵尸網(wǎng)絡盜取的用戶信息。

光從收入上看來，里瓦索的確擔得上“數(shù)字黑手黨”這個名號了。

當法外之徒進入關(guān)鍵領域

但隨著Kelihos僵尸網(wǎng)絡的規(guī)模越來越大，它的用途也不再僅僅是發(fā)送小打小鬧的詐騙郵件，而是逐漸開始入侵到一些關(guān)鍵領域之中。

像是在2016年，美國政府就發(fā)現(xiàn)了一個專門向美國教育機構(gòu)發(fā)送惡意郵件的攻擊者，使用的就是Kelihos僵尸網(wǎng)絡。最主要的是，在里瓦索入侵的10萬臺電腦設備中，有5%到10%都在美國境內(nèi)。尤其當2010年以后，互聯(lián)網(wǎng)和信息化設施越來越普及，僵尸網(wǎng)絡能做到的事情越多，危害也就越大。

實際上里瓦索的黑客行動并非十分隱蔽，在十多年前，他就曾因在美國密歇根進行網(wǎng)絡詐騙被起訴；在2009年，他再次因為僵尸網(wǎng)絡在美國華盛頓被檢察官起訴。甚至有媒體稱，里瓦索在90年代就開始利用網(wǎng)絡犯罪了。

那么里瓦索為什么能夠在光天化日之下繼續(xù)犯罪近二十年，四處旅行揮霍過著逍遙法外的生活？

首先在以往的兩次起訴中，里瓦索的罪名都不夠嚴重，案件級別也都停留在地方，并沒能上升到聯(lián)邦，執(zhí)法者的權(quán)力非常有限。何況里瓦索雖然四處旅行，但根本不會出現(xiàn)在美國。

當然，最主要的原因還是多年以來人們一直沒把里瓦索和Kelihos僵尸網(wǎng)絡聯(lián)系起來。從2010年開始，美國一些科技企業(yè)和信息安全企業(yè)就開始密切關(guān)注kelihos，時不時聲稱自己已經(jīng)找到幕后黑手、徹底殲滅僵尸網(wǎng)絡。但沒過幾天，陰魂不散的Kelihos又會春風吹又生。

（里瓦索在俄羅斯網(wǎng)站上發(fā)布售賣僵尸網(wǎng)絡權(quán)限的信息，他的頭像似乎是《暗黑破壞神》里的BOSS）

就這樣，里瓦索一邊通過僵尸網(wǎng)絡獲得大量收益，一邊過著富足的生活。這樣經(jīng)歷使他成為俄羅斯黑客界的傳奇，享有極高的聲望，掌握了大量秘密交易群組，進一步擴大著自己數(shù)字黑手黨的“勢力范圍”。

急轉(zhuǎn)直下：俄羅斯黑客最不該做的事就是用蘋果產(chǎn)品

一個值得思考的問題是，里瓦索在被捕之前，到底有沒有相應的心理準備？

這次里瓦索被捕，來自于2017年4月份美國田納西州的訴訟。在這一時間段，美國正在浩浩蕩蕩地開啟一系列俄羅斯黑客追捕計劃。除了里瓦索之外，還有很多黑客接連在希臘、捷克、葡萄牙泰國等等地區(qū)被捕。FBI認為，這些黑客都與干擾美國大選有關(guān)。

而里瓦索之所以暴露了蹤跡，是美國在追蹤Kelihos僵尸網(wǎng)絡時意外發(fā)現(xiàn)了這一網(wǎng)絡和里瓦索運營的另一個網(wǎng)絡安全項目Severa有著千絲萬縷的聯(lián)系，同時Severa還是里瓦索常用的網(wǎng)名。

于是，美國FBI從2016年開始監(jiān)視里瓦索的iTunes、iCloud賬號，集合Google、FourSquare多個賬號的登錄IP互相匹配，最終掌握了足夠的證據(jù)證實里瓦索就是Kelihos僵尸網(wǎng)絡背后的黑手。

另一個原因則是，這幾年美國通過了重要的《美國聯(lián)邦刑事訴訟規(guī)則和證據(jù)規(guī)則》第 41 條，對擴大了聯(lián)邦政府對于僵尸網(wǎng)絡、虛假IP地址的搜查權(quán)限，甚至可以實現(xiàn)遠程搜查。

自此FBI開始了漫長的蟄伏，追尋著里瓦索一家的行動足跡，終于等到里瓦索來到“方便下手”的西班牙時，才一舉將其抓獲。

這一過程同樣存在很多疑點，比如此前已經(jīng)有很多俄羅斯黑客在歐洲旅行時被美國抓捕，里瓦索沒有理由不進行防范，反而在西班牙待了四十多天；同時在此前俄羅斯黑客被抓捕時，俄羅斯政府通常會出面交涉，但在里瓦索事件上，盡管很多人都認為這是莫斯科和華盛頓的一場角力，但俄羅斯政府從未發(fā)聲；而且即使里瓦索已經(jīng)認罪，正式宣判也要等到明年9月，所用時長遠遠超出了一般案件。

傳奇的回響：數(shù)字黑手黨背后的政治棋局

雖然最終關(guān)于俄羅斯黑客影響美國大選的消息還沒有定論，但里瓦索已經(jīng)將自己和政治牢牢的綁在了一起。

里瓦索的合作伙伴拉爾斯基在采訪時透露過，早在2010年以前里瓦索就放出風去想要和俄羅斯政府合作，他也是第一個將俄羅斯政府間諜帶入俄羅斯黑客圈子的人。以這位“數(shù)字黑手黨”在俄羅斯黑客行業(yè)中的聲望看來，這種說法并不荒謬。

而且在里瓦索被抓捕后，里瓦索的妻子曾經(jīng)對媒體表示里瓦索被抓捕和特朗普當選有關(guān)，同時強調(diào)里瓦索在俄國有著合法經(jīng)營的企業(yè)、供養(yǎng)家庭，是一位愛國英雄。

這些線索給這位數(shù)字黑手黨的故事留下很多謎題，這一批被抓捕的俄羅斯黑客究竟是不是被俄羅斯政府豢養(yǎng)？特朗普又為什么會和俄羅斯黑客扯上關(guān)系？

數(shù)字黑手黨的故事仍有回響，無時不刻在提示著我們，數(shù)字時代中大國博弈的方式也在發(fā)生變化，過去的長槍短炮，變成了今天一行行的代碼。而那些叱咤風云，掌握著無數(shù)人數(shù)碼設備命運的黑客們，或許也只是錯綜政治棋局中的棋子。

或許幾十年后，這段傳奇會被重新書寫，以另一種角度揭露我們今天正在經(jīng)歷的歷史。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。