（0）幽靈的審判

這是真實攻擊，這不是演習！

重復一遍，這不是演習?。?！

2016年11月27日，深秋的德國突然響起“空襲警報”，一場針對全境的地毯式轟炸隨之而來。沒錯，我說的是全境。西起科隆東至柏林，北抵漢堡到南達康斯坦茨，整個版圖一片猩紅，像一輛燃燒的戰(zhàn)車。

自 1945 年二戰(zhàn)結(jié)束之后，無人能夠在真實世界空襲德國。但在賽博世界，并沒有雅爾塔會議，也從沒人發(fā)表過波茨坦公告，從沒有人宣戰(zhàn)，更沒有人停戰(zhàn)。過去這里是一片黑暗森林，未來，這里仍將是一片黑暗森林。

這次“空襲”針對的不是軍方，不是政府，而是針對每一個手無寸鐵的德國平民，針對他們家庭客廳里一個安靜閃爍的小盒子——路由器。

德國總共有8000萬人口，4000萬個家庭。就在那次襲擊中，德國電信（Telekom）旗下2000萬臺家庭路由器遭到黑客攻擊，其中很多被黑客控制，90萬臺服務器直接宕機，互聯(lián)網(wǎng)的光芒像被榴彈擊碎的燈火，在這些家庭的窗口黯然熄滅。

暗夜里，德國沉入大西洋。

屠殺持續(xù)了三天。情狀之慘烈，堪比1939年納粹德國閃擊波蘭，只不過這次歷史調(diào)皮地調(diào)換了主角。

黑客使用的病毒，不是一般的病毒，而是會自己傳播的“蠕蟲”。如果你想象的話，它就像保護傘公司制造的“僵尸病毒”。

一旦某個路由器被感染，就會立刻調(diào)轉(zhuǎn)槍頭，加入僵尸大軍，一起去“撕咬”其他路由器。直到這個世界上所有可以被感染的路由器走向兩個結(jié)局：

第一，被黑客控制組成“僵尸網(wǎng)絡”；

第二，因為程序錯亂而“突然死亡”。

一場國家級別的網(wǎng)絡戰(zhàn)爭，降臨在德國電信這樣一家商業(yè)公司頭頂，堪稱史無前例。

第一天，面對洶涌的進攻，技術人員只能緊急關閉路由器上被攻擊的端口，就像焊死一幢幢大樓的入口大門。為了讓僵尸進不去，索性把援軍也封鎖在外。魑魅魍魎，百鬼夜行；

第二天，技術人員開始組織反擊。一點點打開端口，在病毒進攻的洪流中，從“門縫”里爭分奪秒地向所有路由器強行下發(fā)疫苗——修復漏洞的補丁，跟黑客手中的病毒爭奪路由器控制權。街頭巷戰(zhàn)，血肉模糊；

第三天，局勢逐漸得到控制，補丁才有機會大規(guī)模進入路由器。然而此刻，這輪屠殺已經(jīng)結(jié)束，黑客像幽靈般悄然退去，戰(zhàn)場狼藉，白骨遍地。

“路由器激戰(zhàn)”的這三天時間里，雙方打得昏天黑地，用戶想正常上網(wǎng)簡直就是癡人說夢。德國電信只得宣布，因故不能上寬帶網(wǎng)的家庭，可以免費獲得一張4G網(wǎng)卡免費券，臨時用手機網(wǎng)絡“續(xù)命”。

11月29日，事態(tài)被初步控制，德國電信才騰出手來發(fā)表“重要聲明”，向用戶和全世界解釋了過去三天發(fā)生的事情，就像我剛才敘述的那樣。

德國電信聲明截圖，圖上這位表情尷尬的老表就是德國電信安全負責人。

然而所有人都清楚，這遠不是戰(zhàn)爭的結(jié)束，而只是“期限不明的休戰(zhàn)”。

因為，整件事情的幕后黑手，竟然沒有一絲一毫浮出水面。他猛然發(fā)起攻擊，又突然抽手離開，留給世界一個駭人的暗影。人們望向天空，不知道“幽靈的審判”何時會再度降臨。

時光荏苒，歲月封塵。

2019年春天，中哥約一位網(wǎng)絡安全大神盆友吃飯。席間，這番歐洲往事再度鉤沉，如一條命運的大河娓娓流淌。我猛然發(fā)現(xiàn)，面前的這個人，不僅是“德國大斷網(wǎng)”的目擊者，更可能是改寫了故事結(jié)局的人。

（1）網(wǎng)絡世界的蝙蝠俠

中哥一直以為，蝙蝠俠這種設定，只是漫畫電影里騙人的把戲。直到我認識了李豐沛。

豐沛是個冷靜而沉默的人。雖然他自嘲是個中年胖子，但比起死肥宅，他的形象顯然更像個老辣的工程師。

乍一看上去，他悶騷的表情中藏了很多不能說的故事。而仔細一看。。。。還正是如此。

要想真正認識豐沛，我們不如先來回憶另一段往事：

2016 年10月21日，美國東西海岸主要城市網(wǎng)絡突然遭到襲擊，包括 Twitter、Airbnb、Github、Reddit、Paypal 在內(nèi)的諸多網(wǎng)站訪問陷入癱瘓。這場史無前例的“美國大斷網(wǎng)”，被稱為網(wǎng)絡世界的“9·11”。

美國大斷網(wǎng)

塵埃落定，所有的證據(jù)都指向一個名為“Mirai”的病毒和它背后的黑客組織。只是，這個黑客組織非常隱秘，它的領頭人自稱“安娜前輩”。當時人們除了知道這是日本羞羞動漫《沒有黃段子的無聊世界》中的一個“有故事的”主角之外，幾乎一無所知。

安娜前輩，大概就是這樣

經(jīng)過一年在公眾視野的銷聲匿跡，人們對這件懸案已經(jīng)逐漸淡忘之時，2017年底，F(xiàn)BI 突然猝不及防地在 Twitter 上宣布， Mirai 病毒的作者——三個美國的年輕黑客——已經(jīng)被繩之以法！隨之附贈的，是詳細的案件卷宗。

案件詳情我們等下再說。

一個有意思的地方在于：除了判決鏈接，這條 Twitter 還專門附了一則致謝，感謝了在抓捕 Mirai 作者過程中提供關鍵技術協(xié)助的商業(yè)公司。其中，中國公司 360 赫然位列其中。

Twitter 截圖：被老周轉(zhuǎn)發(fā)在了微博上

牛X四向的 FBI，居然專門感謝大洋彼岸的公司幫助自己抓到了驚天大案的主謀黑客。沒記錯的話，這應該是史上首次。

其實在這次事件中，F(xiàn)BI 主要致謝的，是 360 公司中一個特殊而神秘的部門：360 網(wǎng)絡安全研究院。

你可不要被這個平淡的名字騙了。如果讓我給這個部門起名字，我肯定不會用這么土味兒的。我會把它稱為：全球網(wǎng)絡事務調(diào)查局。因為這個神秘的機構(gòu)有一個職責——調(diào)查世界上重要安全事件的脈絡和動向。

這個調(diào)查局的“局長”是大名鼎鼎的網(wǎng)絡安全大神宮一鳴，調(diào)查局的“副局長”，正是坐在我面前的李豐沛。

李豐沛

此刻，李豐沛正在大口把一只蝦塞進嘴里。我們旁邊的那一桌閨蜜，決計想不到距離他們五米開外，就坐著一個鎮(zhèn)守網(wǎng)絡世界的“蝙蝠俠”。

很多人可能之前根本沒聽過神馬“360網(wǎng)絡安全研究院”，也不記得他們做過什么驚天偉業(yè)。但是，這恰如蝙蝠俠的劇情。哥譚市的人們也不是每天早晨能看到蝙蝠俠在早餐攤排隊吃豆?jié){油條，然而蝙蝠俠卻總能在人們遇到危險的時候，出手維護這個世界最后的正義，然后事了拂衣去，深藏功與名。

實際上，就在“美國大斷網(wǎng)”發(fā)生之前，研究院的“探員們”已經(jīng)捕捉到了黑客的動向，并且向全世界發(fā)出了預警。只是誰都沒想到，這次攻擊來得這么生猛，這么挑釁，這么無所顧忌。

而在“美國大斷網(wǎng)”發(fā)生之后，探員們通過對數(shù)據(jù)進行分析，得出了重要的證據(jù)，和 FBI、其他安全公司以及一位獨立調(diào)查記者克雷布斯一起最終定位了黑客“安娜前輩”的真身和藏身之處，神奇地推進了劇情的進展。

站在天空俯瞰人間的時間軸，核爆一般的美國大斷網(wǎng)，正發(fā)生在今天的主線故事——德國電信遭受閃擊——之前一個月。這兩起賽博世界的“恐怖事件”深深動搖了西方世界網(wǎng)絡空間的信心。更可怕的是，彼時兩起攻擊的始作俑者都未浮出海面。

這次德國大斷網(wǎng)，它完全無跡可尋嗎？至少李豐沛和他所在的“網(wǎng)絡事務調(diào)查局”不這樣覺得。

（2）蛛絲馬跡

凡事皆有因果。

2016年11月7日，德國電信被攻擊前三周，賽博空間里發(fā)生了一件“小事”。

那一天，獨立安全研究員 Kenzo 突然在自己的博客上發(fā)出了一條“怒帖”，披露了一個愛爾蘭電信給用戶使用的路由器中存在一個大漏洞。中哥給你截了一張原貼的圖：

具體技術細節(jié)就不說了，總之，這個漏洞可以通過 7547 端口讓黑客遠程控制一臺路由器。（記住這個數(shù)字，7547，等會兒有用。）

公平來講，這個漏洞的威力相當之大，如果心懷不軌的黑客看到這個漏洞詳情，就有可能利用它來制作病毒，控制相應型號的路由器。

那么，這個漏洞主要可以控制那個品牌的路由器呢？是一家***企業(yè)合勤生產(chǎn)的路由器。而這個路由器最大的采購商之一，正是德國電信。

就是這貨：合勤路由器

說到這，你可能會有一個大疑問：為什么安全研究員發(fā)現(xiàn)漏洞之后，沒有向路由器生產(chǎn)廠家反饋，而是直接公布了出來呢？這豈不是太不負責任了嗎？

有道理，加十分。

李豐沛猜測，很可能 Kenzo 確實聯(lián)系了路由器的購買者愛爾蘭電信，甚至聯(lián)系了路由器原始廠家合勤，但是，并沒有獲得積極的反饋，一怒之下他才選擇將漏洞公之于眾。

從他的“怒帖”中可以看到這樣一句話：我認為應該有漏洞獎勵機制，可以讓安全研究員去更有動力尋找愛爾蘭電信路由器的漏洞。

他還配了這張圖，可以說相當氣了。（愛爾蘭電信，WTF，修一下你們的路由器會死嗎？）

Kenzo 的本意是督促路由器廠商快速修復漏洞，他似乎沒有預料到，自己將成為歷史爆炸的引信。

此事先按下不表。

2016年9月30日，德國電信被攻擊前兩個月，賽博空間還發(fā)生了另一件事。

那就是，彼時還逍遙法外的大黑客“安娜前輩”為了混淆視聽，在發(fā)動“美國大斷網(wǎng)”之前，把臭名昭著的 Mirai 病毒源代碼公開了。

在《黑客的滑鐵盧——美國大斷網(wǎng)全紀實》里，中哥曾經(jīng)介紹過 Mirai 的原理，為了行文順暢，這里再花點時間解釋一下：

Mirai 并不是你想象中的“計算機病毒”，而是專門攻擊你的攝像頭、路由器這類智能硬件的“物聯(lián)網(wǎng)病毒”。

它的工作原理是：通過漏洞感染成千上萬臺攝像頭和路由器，黑客會把被感染的設備組成“僵尸網(wǎng)絡”，聽他調(diào)遣。

你可以想象，互聯(lián)網(wǎng)世界本來的運行方式是百川歸海，各種數(shù)據(jù)訪問就像江河溪流那樣有序流淌。但黑客控制了大量設備組成僵尸網(wǎng)絡之后，就變成了有法術的“白娘子”，兩指一伸就可以把錢塘江水引到空中，用數(shù)據(jù)流量來一場“水漫金山”。即使它的攻擊目標只是法海一人，但攻擊本身卻會造成杭州百姓生靈涂炭。

Mirai 病毒源碼被公布之后，引發(fā)了一場賽博空間的地震。

李豐沛和他的“探員”們在短時間內(nèi)檢測到了幾十種 Mirai 的變種，它們都是各路黑客根據(jù)那份公開代碼改寫而成的，各自具有不同的攻擊能力，就好像一把 AK47，換上了不同特性的子彈。這種裂變的速度，堪比人類實驗室里最危險的“超級細菌”。

事態(tài)由此開始失控。

Mirai 和變種在全球的蔓延狀況。

2016年11月27日，美國大斷網(wǎng)發(fā)生一個月之后，李豐沛和團隊突然監(jiān)控到一個 Mirai 變種迅速崛起，它在瘋狂地掃描所有設備的7547端口，試圖把全世界的合勤家用路由器（以及少量受影響的其他品牌）都變成自己僵尸網(wǎng)絡的一部分。

當時我們通過散布在全網(wǎng)的探測器看到，全球一天新增了16000次7547端口掃描。這正說明一個問題——很多路由器都已經(jīng)被感染，加入“僵尸大軍”和他們一起開始對外掃描。這個數(shù)字，已經(jīng)占到了當天全球端口掃描的 Top5，我們不可能注意不到了。

他說。

“7547”這個數(shù)字，李豐沛再熟悉不過了。結(jié)論很明顯：之前 Kenzo 公布的漏洞，已經(jīng)被黑客當作子彈安裝在了 Mirai 這把槍上，開始瘋狂屠殺手無寸鐵的路由器。黑客最終會做出什么，誰都無法預料。李豐沛和團隊馬上撰寫報告，準備對全世界發(fā)出預警。

某一時刻，掃描 7547 端口的行為指數(shù)型增長。

（截圖來自 360 網(wǎng)絡安全研究院的博客）

花了三天時間收集信息，撰寫報告。報告發(fā)出時已經(jīng)到了北京時間11月29日。看到報告，其他部門的同事找到李豐沛：“你們寫的這個病毒，就是造成德國大斷網(wǎng)的病毒嗎？”

“什么？德國大斷網(wǎng)？”

他這才發(fā)現(xiàn)，過去一天自己團隊沉迷于撰寫報告，忽略了查看最新新聞。原來，就在20個小時以前，自己監(jiān)視的病毒都沒來得及形成僵尸網(wǎng)絡進行對外攻擊，在傳染的過程中就已經(jīng)造成了不可挽回的后果——德國大斷網(wǎng)。

（3）BestBuy 浮出水面

卡塔林是一位專門追蹤黑客的記者。

2018年以前，他曾經(jīng)供職于科技網(wǎng)站 BleepingComputer，2018年之后，他轉(zhuǎn)戰(zhàn)另一家科技網(wǎng)站 ZDNet。

卡塔林

2016年11月，他在網(wǎng)上看到了一個奇異的帖子：

我們現(xiàn)在出租有400000個節(jié)點的僵尸網(wǎng)絡，可以幫助你攻擊任何人，價格雖然不便宜，但是絕對物超所值！

四十萬個節(jié)點的僵尸網(wǎng)絡意味著什么呢？意味著只要黑客一聲令下，散落在全球的四十萬個攝像頭和路由器就會同時向一個點發(fā)起流量攻擊。如果對方?jīng)]有撒謊，那么這支僵尸大軍幾乎可以擊垮任何一個小國家的主干網(wǎng)絡通路。這是一個危險的核武器。

卡塔林壯著膽子，聯(lián)系到了僵尸網(wǎng)絡的賣家。收到郵件回復的一瞬間，他看到了對方的落款——黑客圈赫赫有名的大黑客 BestBuy。

這就是 BestBuy 放出的廣告貼。

沒人知道 BestBuy 究竟是誰，人們只知道他經(jīng)?；钴S在黑客圈，制作一些精良的攻擊工具。例如，2015 年網(wǎng)絡上曾經(jīng)“熱賣”一款針對美國軍方和企業(yè)的惡意軟件 GovRAT，讓美國人焦頭爛額，它的作者就正是 BestBuy。

應該這樣說，BestBuy 在地下黑客圈子的信譽相當好，主顧對他的評價一貫是：你辦事，我放心。

卡塔林試著套出 BestBuy 的一些信息，但是 Bestbuy 擺出一副傲嬌的語氣：“如果你買50000個節(jié)點的僵尸網(wǎng)絡，每天攻擊一小時，兩個禮拜的價格大概兩三千美金。什么？想試用，那不可能。買得起就買，買不起就滾?！?/p>

卡塔林滾了，然后把所有得到的信息，寫成一篇文章《天了嚕，現(xiàn)在你TM能租到四十萬節(jié)點的僵尸網(wǎng)絡啦》的文章PO到網(wǎng)上。

卡塔林的揭黑文章截圖

對于 BestBuy 來說，記者純粹是去添亂的，但是這件事的升溫，讓真正的主顧同樣看到了這個廣告。

生意來得如此之快。把地球儀輕輕向下?lián)軇訋资畟€經(jīng)度，歐洲以南，你可以從西非海岸找到一個小國利比里亞。

2016年11月-12月，利比里亞電信運營商 Lonestar 突然遭受來路不明的巨大流量攻擊。每天一小時，持續(xù)兩個月，比上班都準時。

利比里亞遭受攻擊

利比里亞是個人口不到北京四分之一的小國，他們哪里見過這種陣仗。運營商酸爽得欲仙欲死，累計花了六十萬美元，才勉強讓自己的網(wǎng)絡茍延殘喘地提供服務。他們一邊肝兒疼地燒錢做防護，一邊咬牙發(fā)狠要把攻擊兇手燉了。

而就在這一切發(fā)生的時候，遠在中國，李豐沛和團隊正緊急在僵尸網(wǎng)絡里布置“無間道節(jié)點”，默默為這個僵尸網(wǎng)絡的動向“懸絲診脈”。

當時，我們用一些特殊設備偽裝成僵尸，于是就打入了敵人內(nèi)部，拿到了非常珍貴的攻擊數(shù)據(jù)。我們證明了一個事實：這次持續(xù)將近兩個月的攻擊，就是 BestBuy 的所做所為。

李豐沛斬釘截鐵地說。

幾乎同時，德國大斷網(wǎng)爆發(fā)。

李豐沛和團隊分析了 BestBuy 用來攻擊德國和利比里亞的病毒。他們終于確認，這是 Mirai 病毒最重要的變種之一。

利比里亞遭受攻擊時候的新聞截圖

如果說技術無罪的話，Mirai 病毒的代碼可以說相當精巧，可以到達“工藝品”的程度。而它的諸多變種中，只有 BestBuy 寫的這個能夠達到原著的水準。

一個疑問在李豐沛心中升起。

由于 Mirai 的作者“安娜前輩”已經(jīng)把源代碼公布在網(wǎng)絡上，那么，BestBuy 難道就是 Mirai 的原作者“安娜前輩”的另一個名字嗎嗎？還是說“BestBuy”和“安娜前輩”是獨立的兩個人呢？

當年12月，李豐沛在清華大學的一次演講中提到了自己的困惑，并且給出了自己的判斷。他對聽眾說：“我懷疑，BestBuy 就是 Mirai 的原作者。”

但事實果然如李豐沛猜想的那樣么？

在 BestBuy 通過 Mirai 變種制作的僵尸網(wǎng)絡活躍期間，360 網(wǎng)絡安全研究院又分析出了它的一個“精妙之處”：

一般的僵尸網(wǎng)絡，黑客用來控制它的“主控域名”都是固定的，而 BestBuy 這個，“主控域名”是動態(tài)的，也就是說，即使安全人員追蹤到主控域名，第二天，這個域名又發(fā)生了變化。用狡兔三窟來形容 BestBuy，應該不為過。

但是，BestBuy 犯了一個特別小的錯誤，在一個隨機數(shù)的位置，本該把下載的源碼改成自己設置的密文，結(jié)果他忘記修改，這會導致病毒作者的隱匿程度大大減少，360 的偵探們正是通過這個小 Bug，追蹤到了更多蛛絲馬跡。

偵探們把這個發(fā)現(xiàn)緊急寫成報告，發(fā)布在自己的 Blog 上，本來只是想提醒全球網(wǎng)絡安全社區(qū)注意到這個重要細節(jié)，然而，意想不到的事情發(fā)生了。

就在 Blog 發(fā)出四個小時，李豐沛在網(wǎng)絡中看到了作者放出了自己病毒的最新版，在 360 指出的隨機數(shù)錯誤位置，BestBuy 把密文修改成了“iloveuthreesixty”（我愛你 360）。

360 網(wǎng)絡安全研究院院長宮一鳴的微博貼出了這張圖。

看到這段代碼，李豐沛忍不住笑了，這是一種技術大牛之間的“眉來眼去”。對方顯然知道李豐沛和團隊能夠看到這段代碼，高手過招，惺惺相惜。至此，雙方雖然沒有正面交鋒，但彼此都已經(jīng)確認了眼神，網(wǎng)線那端是個難纏的對手。

全球安全人員圍追堵截，BestBuy 在夾縫中全力隱匿。

看到這里，你可能會問：幾個月來，為什么一直是商業(yè)公司在追查黑客的動向，最該追蹤黑客肉身的警方在做什么呢？別急，重磅大咖馬上登場。

（4）圍剿！圍剿！

在前面，中哥曾經(jīng)提到過“全球網(wǎng)絡安全社區(qū)”。

實際上，這不是一個政治正確的泛指，而是在這個世界上，真有一個“安全社區(qū)”，它的名字恕中哥不便透露，但是它的組成人員卻是供職在 FBI、各國政府情報部門、全球頂尖公司的幾百位安全大神。

這個組織采用的是邀請制，只有“長老會”一致同意，才能吸納新成員進入。（當然，360網(wǎng)絡安全研究院的大神們也在長老會里，別說是我說的。。。）

如你所想，沒有成員會從“安全社區(qū)”中盈利。他們要的一切，僅僅是一個安定平和的網(wǎng)絡世界。

2016年12月，“安全社區(qū)”的某位成員聯(lián)系到 360 網(wǎng)絡安全研究院，要走了一個關鍵資料——BestBuy 僵尸網(wǎng)絡攻擊利比里亞的證據(jù)。至于對方要這個資料用于什么用途，按照慣例，李豐沛不便多問。

然而，從網(wǎng)絡空間的“脈象”來看，自利比里亞一役之后，BestBuy 似乎開始收手。與此同時，時間邁進到2017年，另一個 Mirai 的新變種——Satori——開始異軍突起。李豐沛和他的探員們又緊急把研究重心放在 Satori 身上。（有關 Satori 的曲折故事，我們下一篇文章再講。）

就在 Satori 剛開始肆虐的 2017年8月，英國警方猝不及防地發(fā)布公告：著名大黑客 BestBuy 落網(wǎng)！

看到了么，無論是哪國，警方都輕易不出手，一旦出手就是“一擊致命”。

各大網(wǎng)絡安全新聞網(wǎng)站沸騰，全世界的聚光燈瞬間射向倫敦。

根據(jù)庭審記錄，BestBuy 是英國人，他的原名叫做 Daneil Kaye。是日，他剛剛從利比里亞飛往英國的飛機中走出來，直接在機場被NCA（國家犯罪局，英國版的 FBI）按倒在地。彼時，他的手提行李箱里裝著一萬美金。

Bestbuy 本尊Daneil Kaye

經(jīng)過一年的淡忘，德國民眾早就不關心那個當年造成自己斷網(wǎng)的罪魁禍首了。他們更關心真實世界汽油漲價，難民風潮，英國脫歐。

聽到這個消息，最振奮的人反而是李豐沛。

前一段時間，我特別悲觀。

我是個做網(wǎng)絡安全防御的人，我知道全世界的網(wǎng)絡安全防御工事的堅固程度。在我把玩 Mirai 病毒的時候，我比誰都清楚，這個惡魔稍加調(diào)教，就可以不費吹灰之力攻下世界上任何一個網(wǎng)站，任何一個。

這樣危險的病毒，居然被邪惡的黑客公布在了網(wǎng)絡上。我們雖然盡力把證據(jù)提交給了“全球網(wǎng)絡安全社區(qū)”，但是病毒原作者，甚至連所有改寫這個病毒用來作惡的人，居然很長時間無一落網(wǎng)。我總是在想，難道這個世界已經(jīng)是正不勝邪了嗎？

自從 BestBuy 在機場被捕的一瞬間，我的信心就開始重建。這對于全世界的網(wǎng)絡安全人來說，是巨大的鼓舞。它標志著我們在邪惡面前，并不是束手無策。

他看著我，一字一頓地說。

BestBuy 在英國被捕之后，馬上被引渡到德國，他被指控非法控制他人設備，攻擊德國電信旗下的路由器，同時，他也承認了自己拿了利比里亞一家運營商的黑錢，攻擊其競爭對手 Lonestar 的事實。

在德國，他被判處18個月緩刑，之后，他又被火速拉回英國，開始了在英國的審判。

就在 BestBuy 等待本國審判結(jié)果之時，2017年12月，美國司法部又傳來捷報，Mirai 的原始作者在美國落網(wǎng)，并且公布了 Mirai 作者制作病毒前后詳實的卷宗。

媒體抓拍到“安娜前輩”（手里拿紙的那位，真名Paras Jha）和他的代理律師走出法庭

原來，Mirai 的三個作者是同一家大學 Rutgers 學校的畢業(yè)生。他們熱愛安全技術，畢業(yè)之后共同成立了一家網(wǎng)絡安全公司，為客戶提供“抵御網(wǎng)絡攻擊”的服務。這本來應該是個大學生創(chuàng)業(yè)的勵志故事，沒想到三位大學生創(chuàng)業(yè)中途開始跑偏。。。。

心生歹念的他們開發(fā)了 Mirai 病毒，組建自己的僵尸網(wǎng)絡，暗地里攻擊自己的母校，然后再把抵御攻擊的服務賣給母校，可謂“兩手都要抓，兩手都要硬”，生意是相當?shù)鼗鸨?。?/p>

因為所犯罪行，三名主犯杰哈、懷特和諾曼分別被判五年緩刑，2500小時的社區(qū)服務，被責令歸還12.7萬美元非法所得。（有關 Mirai 作者的故事，還是請大家打開《黑客的滑鐵盧——美國大斷網(wǎng)全紀實》來查看，此處不贅述。）

2019年1月13日，經(jīng)過了一年多的審判，英國國家犯罪局終于對外發(fā)布了 BestBuy 的判決結(jié)果。

這位名為 Daniel Kaye 的 30 歲小伙，因為網(wǎng)絡犯罪被判處兩年零八個月監(jiān)禁，加上他之前已經(jīng)被羈押的一年多時光，他將總共為自己的犯罪付出四年牢獄時光。

BestBuy 和 Mirai 原作者的相繼落網(wǎng)，讓李豐沛明確了三件事。

第一，BestBuy 和 Mirai 原作者是兩撥人，這證實了他之前的猜想是錯誤的，也證明了在網(wǎng)絡世界，想要從中攫取非法利益的人并不少。

第二，無論是一撥人還是兩撥人，只要網(wǎng)絡世界出現(xiàn)逆流，那些最頂尖的有識之士都會不計回報，齊心協(xié)力保衛(wèi)這個世界。

第三，縱然網(wǎng)絡世界無遠弗屆，縹緲無形，但只要有人膽敢作大惡，無論天涯海角，他必將伏法。

（5）萬物顯形

有件事，你可能沒意識到。

自從 Mirai 病毒被作者公布在網(wǎng)上，一個潘多拉魔盒就被打開了?，F(xiàn)在 Mirai 的變種已經(jīng)無計其數(shù)。這是一場發(fā)生在網(wǎng)絡空間里真正的“生化危機”。

“如今，給 Mirai 病毒的變種分類，都成為了一個專門的學科，可見它有多可怕?！崩钬S沛吐槽。

回望過去，在多如牛毛的變種中，尤以三個破壞力最甚：

安娜前輩”和他的兩個朋友所寫的原版 Mirai、

BestBuy 用來攻擊德國電信和利比里亞電信公司的變種 Mirai、

某個美國黑客編寫的極具殺傷力的 Mirai 變種 Satori。

如今，前兩組黑客悉數(shù)伏法，只剩下 Satori 的作者。2018年8月，聯(lián)邦調(diào)查局又傳來喜訊，一個代號為 Nexus Zeta 的黑客因為涉嫌制造 Satori 病毒而被起訴。

圖片來自著名調(diào)查記者克雷布斯的報道。圖中就是 Nexuz Zeta（真名 Schuchman）。

雖然目前 FBI 尚未公布任何證據(jù)和庭審結(jié)果，但是李豐沛相信，三大 Mirai 變種作者最終的全軍覆沒，就在眼前。

這是正義世界的一場完勝，縱然它有些遲到，但謝天謝地它沒缺席。

“你怎么評價你的對手 BestBuy，也就是 Daniel Kaye？”我突然好奇，問李豐沛。

“聰明、勤奮，有幽默感?！彼f。

“這是一個相當高的評價。”出乎我的意料。

“在我們報告發(fā)出僅僅四個小時，他就能更新一版病毒出來，說明他時時刻刻在監(jiān)視著對手的動態(tài)，而且我們是一個團隊十幾個人，而他只有孤軍奮戰(zhàn)的一個人。既要讀新聞，又要寫代碼，還要在代碼里寫上‘iloveuthreesixty’和我們眉來眼去。我知道這話有點老套，但我還是想說，這個人可惜了?！崩钬S沛說。

“也許這些作惡的黑客都是聰明又勤奮的?！蔽艺f。

“沒錯，我見到的很多中國小黑客也是這樣。他們有很好的天賦，有能力在陽光下賺錢。不幸的是，在這之前，黑道找到了他們。他們嘗過了‘快錢’的滋味，就再也回不來了?！彼f。

這是 BestBuy 的 Facebook 主頁。對愛自己的人解釋自己的一切，也許是艱難的。

“也許在‘快錢’的誘惑面前，根本沒有人能守住自己?！蔽覈@氣。

“人性本善，只要有機會養(yǎng)活自己，大多數(shù)人會選擇做一個好人。幾十年我的所見，讓我相信這一點。”他說。

“在中國，很多天才黑客往往生長在小鎮(zhèn)，就算性本善良，他們真的有機會遇到賺錢的正道嗎？”我想起了不久前，剛剛在國內(nèi)掀起巨大波瀾，又瞬間被警方逮捕的“微信勒索病毒”作者，26歲的年輕黑客。

“微信勒索病毒”作者 LSY

“我們并不是全無機會。當年的補天、烏云這些漏洞平臺都在嘗試做這件事。他們試著告訴所有的網(wǎng)絡安全愛好者，每個人都有平等的機會，也值得去拿陽光下的錢。至于最終黑客們做什么選擇，那是他們自己的事，我們要做的，至少是告訴他們有選擇的可能。這很重要?！彼f。

“德國大斷網(wǎng)”的故事走到了封底，成為了維基百科的一個詞條。所有與之相關的凄厲和恐懼，都被封存進了歷史檔案。

所有曾在風浪中為人類互聯(lián)網(wǎng)扶穩(wěn)航向的安全大神，如以往一樣，沉默在暖陽中，無人相識。

直到下一次危機出現(xiàn)，我們才能看到他們的身影。

造成德國全境大斷網(wǎng)的一場賽博大戰(zhàn)落下帷幕，所有鮮活的故事最終都蜷縮在維基百科三行的詞條解釋中，不免讓人唏噓。

魯迅說，真的猛士，敢于正視淋漓的鮮血。

那些黑客們并不是猛士。當鮮血只存在于你的想象中，你會無所畏懼。當你正視著鮮血從自己身體里迸濺出來，最深的恐懼才會襲來。

但生活正是如此，無論你是否相信，總有那么一刻，陽光剛猛，萬物顯形。猛回頭，來路已成深淵。

關于 BestBuy，我記得 BBC 報道中的一個細節(jié)：

在被送進監(jiān)獄時，這位冷酷的黑客突然哭了起來。