英国研究人员在2017年从全球网络攻击中拯救了互联网

这是2017年5月12日下午晚些时候。两名精疲力竭的安全研究人员几乎无法解开刚刚发生的事件。arcus Hutchins和Jamie Hankins，他们在英国的家中为洛杉矶的网络安全公司Kryptos Logic工作，刚刚停止了全球网络攻击。几个小时前，WannaCry勒索软件开始像野火一样蔓延，加密系统，瘫痪企业和欧洲各地的交通枢纽。这是十年来计算机蠕虫开始大规模攻击计算机的第一次。英国国家健康服务(NHS)是最大的组织之一，迫使医生将病人转移，急诊室关闭。

在广播新闻网络中断后几个小时，哈钦斯 - 他当时只知道他的在线处理@MalwareTech--成为了一个“偶然的英雄”，因为无意中通过注册恶意软件代码中的网络域来阻止网络攻击。

仍然受到损害的互联网已经轻易脱落。这两位研究人员在20岁出头的时候，已经将网络从一个敌人利用西方开发的黑客工具发起的强大的民族国家攻击中拯救出来。

但这次袭击远未结束。

哈钦斯和汉金斯知道杀戮开关是否熄火，恶意软件会从停止的地方起飞，每分钟感染数千台计算机。蓬松的眼睛和睡眠剥夺，他们知道域必须不惜一切代价熬夜。研究人员发现了一个愤怒的僵尸网络运营商的几次攻击，他们试图通过垃圾互联网流量将域名脱机。并且，在某一时刻，执法部门从法国的数据中心查获了两台服务器，因为该域名正在帮助传播WannaCry并且没有阻止它。

随着压力不断而且空着，Hankins - 也只是假名为@ 2sec4u- 为了保持清醒而奋斗，并且会在他的沙发上睡着，他一次工作几个小时，笔记本电脑仍然打开，只是被震动通过Slack或Skype上的消息唤醒，研究人员曾经谈过这些消息。

每当他听到警报时，他都担心杀戮开关已经脱机。

“对这个支持NHS的事情负责?他妈的吓坏了，“汉金斯告诉TechCrunch。“你需要的最后一件事是整个NHS着火的想法。”

“这可能是我遇到的压力最大的事情，”他说。

“我想我们可以阻止它”

在5月12日开始的时候，英国新闻网开始报道网络攻击时间.Hankins在后台播放电视。

据报道，伦敦几家主要医院都出现了中断。工作人员被锁在他们的计算机站外，文件被加密，他们的屏幕要求赎金，计时器滴答作响。NHS宣布了一起重大事件。电信巨头西班牙电信公司(Telefonica)以及航运巨头联邦快递(FedEx)，汽车制造商雷诺(Renault)，德国铁路系统以及俄罗斯多个政府部门也受到了冲击。

英国首相特蕾莎·梅称其为“国际网络攻击”，政府似乎无能为力。

WannaCry正在从计算机传播到计算机，这是之前在勒索软件中看不到的功能。国家安全局(National Security Agency)开发的黑客工具很快就受到了谴责，该工具已被盗，并在网上发布，供几周前使用的任何人使用。其中一个漏洞，DoublePulsar，后端漏洞的易受攻击的计算机，而另一个，EternalBlue，用于传送和传播网络内的勒索软件。

几个月前，微软发布了针对黑客工具的补丁。许多没有打补丁的人看到他们的系统一个接一个地倒下。

“这只是不分青红皂白地擦掉东西，”哈钦斯说。

(WannaCry感染计算机时的倒计时和赎金窗口。图片：文件照片)

通过注册域名，哈钦斯已经“窃取”了勒索软件，使他能够捕获和处理恶意互联网流量。Hutchins找到并注册恶意软件样本中的域名并不罕见。作为僵尸网络和恶意软件跟踪工作的一部分，他通常会控制未注册的域名(假设他们是恶意软件控制服务器)，以查看恶意软件传播的速度和速度。最终目标是将恶意流量引入虚空，以识别受害者并防止进一步感染。

随着一个域名下降，Hutchins怀疑恶意软件可能会跳到另一个域，并要求Hankins查看。恶意软件生成新域以试图逃避检测的情况并不少见。

“天哪，我想我们可以阻止它，”汉金斯回应道。

到了下午6:30，在研究人员的Slack房间里进行了激烈的讨论，试图了解Hutchins注册的域实际上做了什么。但研究人员用了将近一个小时的时间来理解包含Hutchins域名的恶意软件代码的复杂但短片段。

“我们非常关注if-else声明，”Hankins告诉TechCrunch，谈到当下的压力。“这很难想象，因为如果我们搞砸了，情况会更糟。”

几分钟后，研究人员惊慌失措，认为域名注册导致感染。他们来回分析代码，不确定他们是否应该保持域名，担心他们使事情变得更糟。然后尤里卡时刻袭来。如果域不存在，勒索软件只会引爆其有效负载。

“如果域名可以访问它就不会感染 - 我想，”Hankins写道。

“你让我有史以来最长的焦虑症，”哈钦斯回答道。“我想我会病了。”

汉金斯说，情况的压力使分析代码变得更加困难。新闻在后台播放，增加了持续的压力。

“我们花了45分钟来查看这段代码，”他说。“从逆向工程的角度来看，这并不复杂。”

他的Fitbit数据显示，在他坐在办公桌前时，他的心率平均每分钟平均约为140次 - 相当于剧烈运动。

从kill开关收集的数据显示，它在短短两天内阻止了勒索软件触发大约一百万次感染。这个数字可能要高得多，不包括在一台连接互联网的中央服务器下受影响的计算机数量巨大且未知数量。自从21世纪初的Blaster和Mydoom之后，世界上还没有看到过如此坚韧的电脑蠕虫。

“在我开始看到这些请求以及有多少组织被感染之前，我认为这不是什么大问题，”哈钦斯说。他描述了“认知距离”如何帮助他专注于这个问题，而不是由WannaCry造成的损害或人力成本。

哈钦斯只想深入了解恶意软件活动。他不知道早些时候注册域名会阻止勒索软件传播和加密。

哈钦斯很快就被称为“偶然英雄”。

遭到攻击

到早上7点，两位研究人员回过头来讨论Slack。一小时后，杀戮开关受到攻击。

Mirai是一个功能强大的僵尸网络，由成千上万被劫持的物联网设备组成，负责“有史以来最大规模”的分布式拒绝服务攻击，开始肆虐杀戮交换域，带来大量垃圾互联网流量。几个月前僵尸网络的目标是Dyn，一家关键的网络公司，将其脱机 - 以及依赖其服务的主要技术品牌 - 通过过多的互联网流量超载它。在一次单独的事件中，僵尸网络还通过充斥着互联网流量的单一海底光纤电缆，使利比里亚成为一个非洲沿海小国。

在WannaCry之前，Mirai是研究人员关注的众多僵尸网络之一。每次僵尸网络袭击时，专用的Twitter帐户都会发布目标。

轮到他们成为僵尸网络的目标。

“我们在追踪Mirai方面非常公开，”汉金斯说。“他们不是我们的粉丝。”

kill开关通过自动扩展亚马逊托管服务器的数量来保持其基础，以尽可能多地吸收流量。Mirai很难打到下沉洞，但服务器还是熬了。

“我们受到了重创，”汉金斯说。

Kryptos Logic的首席执行官Salim Neino经常与研究人员接触，但很大程度上让他们自己处理这种情况。在傍晚时分，汉金斯向他的老板介绍了这些事件。

“你说[如果]我们的下沉孔死了那些设备被感染了吗?”Neino问道。

“是的，”汉金斯回应道。

“谁在看这个?”Neino问道。

“整个世界，”汉金斯回答道。

“马库斯和我从来没有处理过那么长时间的实时事件，”汉金斯在看到WannaCry击中后第二天结束时回顾Slack消息时说道。“我们没有人指导我们。您可以看到所有这些非常高级的网络维护者和拥有所有这些经验的公司。与此同时，马库斯登陆了这个非常重要的领域，现在我们处于这场全球灾难的核心。“

随着网络松了一口气，认为危险已经结束，大多数人都不知道任何停机会导致毁灭性的后果。即使勒索软件不再加密文件，如果kill开关脱机，或者受感染的计算机或网络无法再与kill开关通信，那么现在处于休眠状态的恶意软件仍然存在风险。其他攻击者很快重新设计WannaCry以改变杀戮交换域，但其他安全研究人员迅速陷入新的变种，减少了勒索软件的传播。

Hankins说，许多人认为研究人员“会搞砸了”。

Doxxed

自从袭击事件发生30多个小时后，哈钦斯最终得到了一些睡眠。第二天早上，他醒来发现他的脸贴在英国小报报纸周日版的正面。媒体找到了他。

一些记者称哈钦斯为“英雄”，而另一些则肆无忌惮地发现他的身份。鉴于他的工作揭露和研究恶意软件和犯罪僵尸网络，哈钦斯只是通过他的在线处理MalwareTech。只有少数可信赖的人知道他的手柄和他的名字。

哈钦斯表示，他并不期待媒体群。

他几天没有离开自己的房间，低着头试着更多地了解恶意软件的范围和影响。他说记者来到他家;他的父母告诉他，他们在前面的草坪上露营。

他并不担心他的安全，但却被注意力所挫败。“我只是不满意试图帮助清理星期五门铃不断的混乱，”他在推特上说。

哈钦斯一言不发，一直呆在办公桌前继续工作。“我一直在回复[直接消息]三个小时，”哈钦斯在一篇关于大量新闻调查和安全研究人员支持的Slack消息中告诉汉金斯。“仍然看不到底部。”

(几个英国国家健康服务医院因WannaCry袭击而被迫离线。图片：Getty Images)

媒体对哈钦斯的痴迷并没有消失。尽管他在注册杀戮开关方面发挥了作用，但他也是一位活跃的推特，迅速成为WannaCry及其持续发展的公众形象。

为了更多地了解当时22岁的神秘人物，记者联系了他的朋友，出现在他们的房子里，并向他们提供了信息。

安全社区非常愤怒。他的盟友在Twitter上谴责哈克辛斯的努力。安全研究人员通过假名或在线处理这种情况并不少见。即便如此，即使是英国国家网络安全中心也将他称为“MalwareTech”作为他在该组织博客上发布的帖子。

现在，凭借自己的身份，哈钦斯知道犯罪集团会更容易针对他以前无情的工作来揭露他们的恶意在线行动。但是在针对杀戮开关的各种威胁中，他担心不必要的注意力会分散他对当前工作的注意力。

“这是一个很大的问题，”他告诉TechCrunch。当媒体涌入他的朋友和家人时，研究人员仍然在与杀戮开关脱机的攻击和努力作斗争。

“我对那种关注并不好，”哈钦斯说。“我可以应对压力，但注意力不是我非常擅长的。”

“连续数周都有数百万记者在你身边?这不好玩，“他说。

那天晚些时候，汉金斯出去买了所有的星期日报纸给哈钦斯作为纪念品。

哈钦斯吸收了大部分媒体的关注。但是Hankins，在WannaCry袭击时他的真实姓名也没有公开，并且最近几个月才开始在他的推特账户中使用他的真实姓名，担心他的身份也会被发现。

“我担心[记者]会在下一次出现我的位置，”汉金斯说。他说，如果记者找到他的家庭住址，他如何制定计划。

“我的计划不是走出前门，记者本来会经过我的侧门然后从后面出来 - 这就像一条后街 - 而且一个朋友会在车里接我，我会去和他们呆在一起，“他解释道。

但即使有关注，哈钦斯表示他并不后悔自己在阻止WannaCry方面的作用。“我可能会试图隐藏得更好，”他开玩笑说。“但是，我真的不喜欢这个。”

骑兵到了

第二天星期一，英国自网络攻击以来首次重返工作岗位。

许多企业已成为WannaCry的受害者，他们的系统处于脱机状态。其他系统尚未赎回的人不知道他们的系统也被感染了。杀戮开关是阻止另一次爆发的唯一因素。由于整个组织的持续中断，英国的国民健康服务处处于高度戒备状态，预计会出现“第二次飙升”。几天前，英国当局加入了对袭击事件背后攻击者的全球搜捕行动。

但是当研究人员没有受到一连串攻击时，他们就知道累积压力，疲惫和睡眠不足是站不住脚的。

“我并不急于把它交出去，”哈钦斯承认道。“我希望能够继续控制它。”他担心将其交还会使识别和通知被WannaCry感染但尚未赎回的企业和政府组织变得更加困难。

“但我意识到，我这样做有很大的个人风险，”他说。“每次服务器出现故障都只是一周的恐惧。把它交给然后睡一觉更合乎逻辑。“

Hankins告诉TechCrunch，有几家公司主动提供杀戮开关，但研究人员对信任任何人都持谨慎态度。“对我们来说，保持活力至关重要，但对于其他人来说，这是一个进入这个巨大的新闻周期的机会，”他说。

这对二人认识了安全和网络巨头Cloudflare的人，并向他们寻求帮助。互联网公司提供许多服务，如域名注册和防止分布式拒绝服务攻击。

Cloudflare的信任和安全主管贾斯汀潘恩说，哈钦斯和汉金斯在WannaCry袭击两天后接近了Cloudflare。首席执行官马修•普林斯(Matthew Prince)已经让潘恩(Paine)获得批准，为研究人员提供他们需要的东西，免费提供其服务套件。

帕尼说，未来用它所拥有的一切继续攻击杀戮开关。急于让杀伤开关尽快上架并受到保护。

在交接完成后，5月16日英国已经过了午夜。

就其本身而言，Cloudflare对此安排保持沉默。该公司没有发布新闻稿或博客文章，承认其支持杀戮开关。对于大多数人来说，这是一种无形的合作伙伴关系，唯一的赠品是域名解析为Cloudflare名称服务器，这对于互联网用户来说是不明显的。

“没有他们，我们不可能做到这一点，”汉金斯说。

每周92小时

两年后，杀戮开关没有下降一次。

勒索软件继续潜伏在全球数千个网络中，准备加密数百万台计算机上的文件，尽管过去两年已有可用的补丁。汉金斯说，仅在2019年6月，杀戮开关就阻止了约6000万件勒索软件爆炸。

为朝鲜工作的黑客后来被指责为网络攻击。

哈钦斯说：“在确认它已被停止之后，有一个'神圣的屁股'时刻，这是近期网络史上最重要的事情之一。”“这是任何一种勒索软件蠕虫的第一例。”

根据他的Fitbit数据，汉金斯在五天内工作了大约92个小时，每晚睡几个小时。有一次，英国政府官员私下向研究人员伸出援助之手，同时也要检查他们的健康状况，了解他们所承受的压力。

“我认为我们在努力，但我们做了一个合理的工作，”他告诉TechCrunch。

(被指控发动WannaCry攻击的朝鲜黑客的一张照片。图片：Getty Images)

直到上个月Cloudflare中断使一部分互联网脱机几个小时，一切似乎都很顺利。导致错误处理互联网流量的原因归咎于Verizon(拥有TechCrunch)。Cloudflare的Prince对该电信巨头愤怒地发了推文。

但杀戮开关没有扣。Hankins发推文说，停电并没有影响到WannaCry杀戮开关。他告诉TechCrunch，在停电期间有22万名WannaCry被处决。

“这不是Cloudflare的错，也不是我们能做些什么，”Hankins发推文说。“中断和问题一直在发生，有时它们可​​能非常本地化，难以察觉。”

只要计算机感染了WannaCry并且没有打补丁，数据仍然存在风险 - 并且受到kill开关的支配。

“请从你的网络中删除这个狗屎，”他推特说。

Paine表示，Cloudflare每年仍会收到少量关于删除域名的请求，认为该域名正在传播WannaCry - 而不是阻止它。

“我们必须教育人们，这与你真正想要的完全相反，”潘恩说。“如果我们取消该域名，对你来说这将是一个更糟糕的一天。”

第二轮：BlueKeep

2017年8月，在WannaCry袭击事件发生三个月后，哈钦斯在拉斯维加斯麦卡伦国际机场被美国当局逮捕，因为他登上了一架飞往英国的飞机，指控他在青少年时期制造恶意软件 - 与WannaCry无关。他认罪并将于7月底被判刑。鉴于哈钦斯最近为保护用户免受安全威胁而采取的一致努力，他的支持者呼吁宽大处理。

现在担任Kryptos Logic安全和威胁情报负责人的汉金斯保留了对杀戮开关的控制权，并为企业和政府提供对本地化感染数据的访问。

在WannaCry首次出现后差不多两年，出现了一个新的漏洞。安全研究员凯文·博蒙特(Kevin Beaumont)昵称为“BlueKeep”，该漏洞也有类似蠕虫般的特性，可以让它从计算机传播到计算机。

“我很恐慌，”汉金斯说。他说，BlueKeep的出现带来了WannaCry击中的那一周的很多情绪。

微软发布了补丁程序，但是几周后国家安全局发布了自己罕见的咨询报告时，大约有一百万台计算机仍然容易受到攻击。自WannaCry以来，BlueKeep被视为易受攻击的计算机面临的最重大威胁之一。尽管尚未公布任何漏洞利用代码，但国土安全部警告说，黑客弄清楚如何滥用漏洞并发动攻击只是时间问题。

“我们曾经看过这个，”他说。“我们需要阻止这一点 - 但显然我们能够做到他妈的，”他说。

“这次我们没有得到一个杀戮开关。”