黑客猎人 - 彭博社

动画图形 >>

在华盛顿市中心的一栋无标记建筑内，布莱恩·K·纳戈尔和其他15名特勤局特工在一个高科技指挥中心待命，准备进行有史以来最大规模的网络犯罪团伙抓捕行动。一个覆盖12个数字屏幕的美国巨大地图，让他们能够监视从亚利桑那州到新泽西州的目标。那是2004年10月26日，星期二，防火墙行动即将展开。目标：影子团队，一个成员精通身份盗窃、银行账户掠夺和在网络上倒卖赃物的团伙，警方表示。几个月来，特工们通过一个秘密通道监视他们在网站shadowcrew.com上的一举一动。为了确保嫌疑人在家，一名转变为线人的团伙成员曾敦促他的朋友们在线上进行小组会议。

晚上9点，特勤局调查助理主任纳戈尔下达了“出击”命令。特工们携带Sig-Sauer 229手枪和MP5半自动冲锋枪突袭而入，得到了当地警察和国际警察的协助。肾上腺素在体内激增，部分原因是已知有几名影子团队成员拥有武器。28名成员被捕，大多数仍在电脑前。涉嫌头目们安静地被捕，但一名嫌疑人从二楼窗户跳了出去。特工们在地面上抓住了他。后来，他们在他的公寓里发现了一把上膛的突击步枪。此次行动迅速且没有流血。“[网络帮派]总是认为他们在匿名中运作，”身材高大、面容坚毅的纳戈尔说。“我们让他们感到震惊。”

网络空间中出现了一种新的犯罪打击者：黑客猎人。由于丰厚的利润，职业网络犯罪分子已经取代了业余寻求刺激的黑客，成为网络上最大的威胁。软件防御正在迅速改善，但执法部门和安全公司明白，他们不能再仅仅依靠技术来应对病毒攻击、计算机入侵和在线诈骗的瘟疫。相反，他们正在集结力量，使用侦探战术进行反击——渗透黑客组织，监控他们在地下网络上的聊天，并在可能的情况下，在他们造成更多损害之前抓捕坏人。“未来的趋势是渗透这些组织，发展情报，并将他们摧毁，”司法部计算机犯罪部门副主任克里斯托弗·M·E·佩因特说，他将帮助起诉计划于十月进行的ShadowCrew成员。

一步一步，警方正在弄清楚如何玩转网络犯罪游戏。他们正在采用一些在1980年代打击有组织犯罪时使用的相同战术——线人和网络世界的窃听。他们还在忙于想出全新的招数。FBI特工丹尼尔·J·拉金，一位拥有20年经验的老兵，负责该局的互联网犯罪投诉中心，利用在线服务提供商帮助打破网络的匿名面纱，追踪犯罪黑客。在四月底，由FBI和eBay公司提供的线索帮助罗马尼亚警方抓捕了11名设立假eBay账户并拍卖他们从未打算交付的手机、笔记本电脑和相机的团伙成员。“我们每天都在变得更聪明，”拉金说。

更聪明，更具协作性。虽然联邦调查局和其他调查人员因在传统案件中几乎与罪犯一样激烈地相互斗争而受到批评，但在网络犯罪方面，他们的合作比以往任何时候都要多。地方、州和联邦机构定期分享线索并联合进行抓捕。联邦调查局和秘密特工局在财政部时获得了对金融犯罪的管辖权，甚至在洛杉矶成立了一个联合网络犯罪特别小组。公共机构还与科技公司和私人安全专家建立联系，这些专家通常是最早发现犯罪和线索的人。

这使得黑客猎人们成为一个多元化的群体。拉金与芬兰安全公司F-Secure Corp的反病毒研究主任米科·H·希波宁（Mikko H. Hypponen）等人密切合作。拉金是一位45岁的印第安纳州本地人，他在1980年代对国防承包商向五角大楼官员支付回扣的调查“风暴行动”中磨练了自己的技能。希波宁是一位35岁的计算机天才，住在赫尔辛基西南部一个人口不到100人的小岛上，岛上还有一群驼鹿。

在狂暴中

这种新发现的合作有一个明确的原因：坏人正在获胜。他们盗取了更多的钱，窃取了更多的身份，破坏了更多的公司计算机，并且比以往任何时候都更频繁地侵入更安全的网络。根据研究公司Computer Economics Inc.的数据，去年造成的总损失至少为175亿美元，创下纪录，比2003年高出30%。受影响的计算机中包括NASA的计算机，其中一个主要嫌疑人是一名来自瑞典乌普萨拉大学城的16岁少年。

问题的一部分是警察没有他们需要的所有武器来反击。他们显然缺乏与对手的技术技能和全球影响力相匹配的财力资源。尽管网络犯罪被列为第三高优先级，联邦调查局在2005财年的50亿美元预算中仅花费1.5亿美元用于网络犯罪——不包括人员费用。（恐怖主义和反情报优先级更高。）

特勤局不愿讨论网络犯罪的资金分配。两个机构都在积极游说国会争取更多资金。网络犯罪法律并没有太大帮助。入侵计算机网络长期以来被视为无非是恶作剧，惩罚通常只是轻微的警告。然而，这种情况开始改变。检察官们开始积极利用《计算机欺诈与滥用法》，该法的惩罚可达20年监禁。迄今为止最长的判刑是九年，去年十二月判决。现在，检察官计划通过ShadowCrew案件传达一个信息。如果被定罪，几名成员面临5到10年的监禁。“必须有后果，”佩因特说。

最狡猾的黑客仍然在警察面前游刃有余。警方表示，一个名为HangUp Team的俄罗斯黑帮已经对电子商务网站进行攻击，并嘲弄追捕他们的人已有两年。该黑帮在计算机中植入软件漏洞，使其能够窃取密码，并将庞大的计算机网络租给他人用于发送病毒和垃圾邮件。HangUp Team在明目张胆中隐藏。它的网站——rat.net.ru/index.php——装饰着红黑色的万字符，发出闪电。它的博客讨论黑客战术，并抨击美国人。它的座右铭是：在欺诈中我们信任。“我们认为我们知道他们做了什么，他们在哪里，以及他们是谁，”纳格尔说。但当局迄今未能抓住他们。特勤局不愿说明原因。

特洛伊木马

恶魔般的诡计让罪犯始终领先一步。在2004年1月，一种名为MyDoom的新病毒攻击了SCO集团公司的官方网站（SCOX），这是一家声称开源Linux程序侵犯其版权的软件公司。大多数安全专家怀疑病毒作者是一个寻求报复的Linux爱好者。他们错了。虽然SCO的角度造成了混淆，但MyDoom就像一个特洛伊木马，感染了数百万台计算机，然后为其作者打开了一个秘密后门。在爆发后的八天，作者利用这个后门从计算机所有者那里下载个人数据。F-Secure的Hypponen及时发现了这一点并警告了他的客户。然而，对于许多人来说，已经为时已晚。MyDoom造成了48亿美元的损失，是有史以来第二昂贵的软件攻击。“我们一直在对抗的敌人正在改变，”Hypponen说。

确实，今天的网络罪犯变得越来越紧密组织。像黑手党一样，黑客团体有虚拟教父来制定战略，有头目下达命令，还有士兵来做肮脏的工作。他们的沉默誓言，或称为沉默的誓言，因网络的匿名性而变得更容易。就像合法企业一样，他们也在全球化。ShadowCrew据称有4000名成员在全球范围内活动——包括美国人、巴西人、英国人、俄罗斯人和西班牙人。“有组织犯罪已经意识到它在街头能做什么，它也能在网络空间做到，”彼得·G·阿洛尔说，他是一名前绿贝雷部队成员，现任亚特兰大互联网安全系统公司的情报团队负责人（ISSX）。

然而，战斗的命运可能会有所转变。对于网络警察来说，ShadowCrew案件被视为向黑帽黑客发起攻击的典范。执法官员通常不愿透露他们行动的细节，但特勤局和司法部希望宣传一个仍然罕见的胜利。因此，他们同意向商业周刊透露他们猫捉老鼠追逐战的内部动态。

这个故事始于一个不太可能的合作伙伴关系。安德鲁·曼托瓦尼是亚利桑那州斯科茨代尔社区学院的兼职学生。大卫·阿普利亚德曾是一名抵押贷款经纪人，住在新泽西州林伍德，距离大西洋城不远。根据在新泽西州美国地方法院提交的起诉书，这对搭档从2002年领导ShadowCrew，直到他们去年秋天被捕。两人被认为是在网上相遇，尽管他们第一次见面的细节尚不清楚。曼托瓦尼（现年23岁）和阿普利亚德（现年45岁）据称从他们的家用电脑上运营shadowcrew.com，作为一个国际盗窃信用卡和身份文件的交易中心。“这是一场犯罪集市，”曾为乔治·H.W.布什和比尔·克林顿担任保护团队的22年老兵纳格尔说。

看起来，ShadowCrew主要是曼托瓦尼的创作。他是斯科茨代尔的一名商科学生，在电脑屏幕前成为了一名真正的企业家。司法部官员表示，他之前是一个主要存储被盗数据的网络团伙的成员。随后，他据称想出了将买家和卖家聚集在一个在线社区中的想法，以便他们可以拍卖被盗物品并分享黑客技巧。一旦ShadowCrew网站建立，他常常在在线聊天中提醒成员，依赖于他，他们在帮派中的地位可以上升或下降，前助理美国检察官斯科特·S·克里斯蒂说，他帮助建立了法律案件。“对曼托瓦尼来说，被认可为ShadowCrew的精神领袖是重要的，”克里斯蒂说。

根据起诉书，如果曼托瓦尼是大脑，阿普利亚德就是肌肉。年长者在网上采用了前士兵的身份。他以“黑色行动”的昵称自居，随时准备对任何越界者施加惩罚。有一次，一名名为“ccsupplier”的帮派成员未能交付他所出售的商品——然后又未能退还已支付的款项。阿普利亚德据称在ShadowCrew网站上发布了该男子的真实姓名、地址和电话号码，立即使他破产。在另一次情况下，警方表示他在一条在线消息中威胁某人身体伤害。与此同时，这位前抵押贷款经纪人与妻子、两个孩子和患有阿尔茨海默病的母亲同住。

ShadowCrew帮派通过各种巧妙的手段获取信用卡号码和其他有价值的信息。其中一个最受欢迎的方法是发送数百万封网络钓鱼电子邮件——这些信息看似来自合法公司，如雅虎公司（YHOO）和Juno在线服务公司，但实际上是伪造的，旨在窃取密码和信用卡号码。该帮派还擅长入侵数据库以窃取账户数据。根据熟悉调查的消息来源，ShadowCrew破解了12家未透露名称的公司的网络，这些公司甚至不知道他们的系统已被入侵。

由于大多数帮派成员都有日常工作，该团队在周日晚上活跃。从晚上10点到凌晨2点，数百人在线聚集，交易信用卡信息、护照，甚至制作假身份文件的设备。铂金信用卡的价格高于黄金信用卡。套餐交易提供折扣。生意有多大？在2004年5月的某一天，一名名为“伤疤脸”的成员在一次交易中出售了115,695个被盗的信用卡号码。总体而言，该帮派在两年的运营中通过信用卡购买赚取了超过430万美元。联邦调查局表示，实际金额可能是这个数字的两倍以上。这就像是黑市的eBay。

太大无法隐藏

这个操作相当复杂。Mantovani，使用“ThnkYouPleaseDie”这个昵称，以及Appleyard，使用“BlackBagTricks”和“Black Ops”这两个昵称，被政府的起诉书称为“管理员”。他们负责战略规划，决定哪些ShadowCrew的候选人可以访问该网站，并收集参与者的付款以维持其运行。“版主”主持在线论坛，供帮派成员分享制作假身份证的技巧或询问创建可信钓鱼电子邮件的问题。在他们之下是“审核员”，负责审核被盗信息，如信用卡号码的质量和价值。最大的一组是“供应商”，将商品出售给其他帮派成员，通常是在在线拍卖中。速度至关重要，因为信用卡号码必须在被取消之前迅速使用。

但他们的操作太大，无法逃脱警方的注意。在2003年中期，特勤局发起了“防火墙行动”，以抓捕假信用卡和借记卡的供应商。他们迅速将注意力集中在ShadowCrew上，Nagel说，因为它是公开在网上运营的最大帮派之一。几个月内，特工将ShadowCrew的一名成员变成了线人。虽然他们拒绝透露该人的姓名或详细说明他是如何被转变的，但一份宣誓书称他是该帮派的高级成员之一，也是其版主之一。去年八月，这名男子帮助特勤局为ShadowCrew成员建立了一个新的电子入口，以便他们进入其网站，然后传播消息称这个新入口是一个更安全的进入方式。这是根据1968年犯罪法首次对私人计算机网络进行的窃听，该法为窃听设定了法律准则。“我们变成了shadowcrew.com，”Nagel说。

这是一次重大突破，因为警方可以利用这个门口监控所有成员的通讯。在这些通讯中：奥马尔·达哈尼，别名 小偷（法语为“盗贼”），自夸能够为网络犯罪交易建立一个特殊的支付系统，警方表示。为了10%的佣金，他会将现金兑换成“电子黄金”，这是一种由黄金条支持的电子货币。秘密特工观察到他从至少十几笔交易中为ShadowCrew成员洗钱。

在线监听也帮助警方建立了现实世界的监视。他们首先通过传票从互联网服务提供商那里获取记录，例如时代华纳公司（TWX）的Road Runner。然后，他们将计算机地址追踪到实际的房屋和公寓，以便亲自观察他们的猎物。一个目标：罗杰里奥·罗德里格斯。调查人员表示，他们看到他将一个鼓鼓的银行存款袋装入他的福特探险者，并将其送到花旗银行（C）的一个分行。后来，他停在了一个Kinko’s（FDX），特工们相信他在那里拿到了假冒商品。

尖端的数字监控结合传统的实地调查，产生了大量的证据。在调查的高峰期，十几名秘密特工每天工作18小时，筛查该团伙的通讯。电子邮件、即时消息和计算机地址将他们引向了嫌疑首脑。结果发现，曼托瓦尼与另一名涉嫌ShadowCrew的成员布兰登·蒙尚普同住。达哈尼则在加利福尼亚州泉谷的一栋古雅的灰泥房子里活动。手握地址，秘密特工准备进行去年的突袭。

ShadowCrew案件远未结束。被控信用卡欺诈和身份盗窃的嫌疑人中，大多数在那天被捕的人已被保释待审。曼托瓦尼回到长岛与父母同住，担任建筑工人。他的律师帕斯夸尔·F·贾内塔坚称曼托瓦尼不是罪犯。“他就像一个正常的23岁男孩，”贾内塔说。阿普利亚德在此案中尚未提出认罪，等待政府提供更多证据。他的律师威廉·J·休斯 Jr.表示，阿普利亚德只是一个运营ShadowCrew网站的技术人员，并不是从中获利的罪犯。布兰登·蒙尚普的律师伊丽莎白·S·史密斯拒绝置评。达哈尼和罗德里格斯的律师未回复寻求评论的电话。

全球影响

此次抓捕带来了大量证据。到目前为止，特勤局已发现170万个信用卡号码、超过1800万个电子邮件账户的访问数据，以及包括伪造的英国护照和密歇根州驾照在内的数千人的身份数据。他们表示，ShadowCrew掠夺了十多家公司，从万事达卡公司到美国银行（BAC）。此次抓捕提供了对超过4000名嫌疑人的证据，并与保加利亚、加拿大、波兰和瑞典的人有联系。“我们将会逮捕人们数月之久，”纳戈尔说。

现在，随着ShadowCrew的抓捕成为他们的灵感，警察和安全专家变得更加积极。他们正在监控可疑的网站和聊天室，加强与其他国家调查人员的合作，并利用线人建立案件。在过去六个月中，FBI说服了几个垃圾邮件和网络钓鱼团伙的成员揭发他们的同伙。拉金表示，这些案件中的一些将在未来几个月公开。

尽管取得了这些成功，警方在试图控制网络犯罪时面临重大障碍。最大的障碍是什么？它们的全球范围。帮派成员藏身于黑客法律薄弱和执法松懈的国家。他们甚至可以在另一个国家庇护服务器，使调查人员的追踪变得复杂。他们最喜欢的藏身之处是：俄罗斯、东欧和中国。

这并不奇怪。在俄罗斯，当局有时似乎更关心保护网络罪犯而不是起诉他们。在2000年，FBI以工作机会引诱两名俄罗斯黑客来到西雅图，然后逮捕了他们。参与此案的特工后来通过网络从位于俄罗斯车里雅宾斯克的这对黑客的计算机上下载了数据。两年后，俄罗斯对FBI的侦探提出了黑客指控，声称这些下载是非法的。“当你有一个涉及俄罗斯服务器的案件时，你几乎可以听到执法官员的叹息，”Hypponen说。

HangUp团队在俄罗斯肆无忌惮地运作了多年。一些成员据称位于阿尔汉格尔斯克，这是一座充满生锈的苏联核潜艇和几乎永恒冬季的北极圈城市。在2000年，团队的原始成员亚历克谢·加莱科、伊万·彼得里琴科和谢尔盖·波波夫因感染两个地方计算机网络而被捕。但俄罗斯当局对他们只判处了缓刑。

在接下来的两年里，HangUp团队鲜有消息传出。但在2003年，该团伙发布了病毒Berbew和Webber。然后在去年，该组织用一种名为Scob蠕虫的恶意软件感染了在线商店。警方表示，Scob等待网络冲浪者连接，然后在他们的硬盘中植入软件，监视他们的输入，并将数千个密码和信用卡号码传送到俄罗斯的服务器。“这些家伙在犯罪黑客中设定了新的复杂标准，”51岁的A. James Melnick说，他是位于弗吉尼亚州雷斯顿的网络安全公司iDEFENSE的威胁情报主任。

HangUp团队甚至没有掩盖他们的踪迹。这三个漏洞都包含了一个明显的特征：“由HangUp团队编码。”由于HangUp如此公开地运作，成员们为何如此难以被捕并不清楚。俄罗斯当局表示，他们受到获取逮捕令、与美国和英国警方协调以及翻译文件的繁文缛节的阻碍。

这再次表明，网络空间的战斗已经永远改变。罪犯们蜂拥而至，攻击来自全球最偏远的角落。没有简单的答案。但有一点是明确的：仅仅依靠软件建立防御是不够的。“这只是一个创可贴，”拉金说。“如果你不试图打击这些家伙，他们会卷土重来。你必须找到办法接触到活的目标，并从根本上消灭他们。如果不这样做，你就无法解决问题。”调查人员在打击ShadowCrew背后的黑客方面取得了显著成功。但追捕才刚刚开始。

作者：布赖恩·格罗，莫斯科的杰森·布什