坐在羅切斯特理工學院(Rochester Institute of Technology)的宿舍裡,班傑明.布倫戴奇(Benjamin Brundage)正逐步解開一個連資深網路調查員都一籌莫展的謎團。幫他破案的,是一張貓咪梗圖。
一個由受控設備組建、且不斷擴張的網路,當時正在發動網路史上最大規模的網路攻擊。它已成為有史以來最強大的網路武器,威力足以讓一個州甚至一個小國斷網。調查人員並不清楚它的締造者究竟是誰,更不知其是如何建成的。
即日起至 2026 年 5 月 10 日,訂閱《風傳媒X華爾街日報》VVIP,我們將替您捐出 500 元給花蓮縣角兒愛心公益協會,一起用知識成就自己,用行動照亮他人!
▶ 立即訂閱,一份訂閱兩份意義 ◀
布倫戴奇也一直在追蹤這些攻擊,並在課餘時間自行展開調查。去年9月,這位大四學生開始在網上與一名似乎掌握內情的匿名用戶互發資訊。
他們在遊戲玩家青睞的平台Discord上聊天時,布倫戴奇渴望套出更多資訊,但他不想表現得太嚴肅,以免把天聊死。於是,他時不時發個搞笑的GIF動圖來活躍氣氛。對重度衝浪的年輕遊戲玩家和駭客們愛用的梗圖、段子以及技術黑話,布倫戴奇都信手拈來。
布倫戴奇說:「基本上就是反覆追問,同時還得表現出一副漫不經心的樣子。」
有一次,他詢問了一些技術細節。他接著發了那張貓咪梗圖:一段六秒動圖裡,一隻手在為一隻毛茸茸的灰貓整理領結。
布倫戴奇本沒指望這招能奏效,但他確實得到了資訊。他說:「這讓我大吃一驚。」
最終,這名洩密者暗示網路上存在一個新漏洞。22歲的布倫戴奇後來了解到,這個漏洞威脅著數千萬消費者和全球多達四分之一的企業。隨著謎團被層層揭開,他的發現令資深研究人員刮目相看,其中也包括聯邦執法部門,兩周前,該部門對這一網路採取了行動。
Akamai的研究員查德.西曼(Chad Seaman)一度開玩笑說,如果布倫戴奇花太多時間準備考試,網路可能就要癱瘓了。
早期預警
維繫北美網路運轉的數百名技術專家每年會聚首三次,交流業務。去年6月,他們齊聚丹佛,參加由北美網路營運商組織(North American Network Operators’ Group)主辦的一場會議。
會上的一個主要議題是「住宅代理網路」(residential proxy networks)。這項業務增長迅猛,但在法律上往往處於灰色地帶。全球有數十家公司在營運這類網路,其節點由手機、電腦和影片播放器等消費級設備組成。
這些「住宅代理」公司將設備的網路連接權限出租給客戶,讓後者能夠偽裝成從真實的家庭地址上網。
對於注重隱私的個人,或是想要偽裝成普通用戶以測試特定地區網路功能、抓取網頁數據(例如購物比價網站)的企業來說,這種權限頗具價值。AI公司也利用這些網路繞過對自動化流量的封鎖,從而收集海量數據來訓練其模型。
(相關報導:
華爾街日報》揭秘美國人形機器人的中國技術「內核」
|
更多文章
)
此外,還有一些客戶隱藏身份,則是為了倒賣門票、實施銀行欺詐、發送炸彈威脅、跟蹤騷擾、剝削兒童、駭客攻擊乃至間諜活動。
部分設備所有者為了每月賺取幾美元的蠅頭小利,自願註冊加入這些網路,但絕大多數人對自己設備已淪為網路節點毫不知情。
在丹佛的會議上,克雷格.拉博維茨(Craig Labovitz)感到了警惕。這位諾基亞(Nokia)高層多年來一直追蹤網路基礎設施的數據流,對網路數據中心、關鍵節點及架構設計的了解比大多數人都深。
從2025年1月開始,諾基亞的傳感器已偵測到一系列威力與日俱增的網路攻擊,這些攻擊來自先前被認為沒有危險性的設備。這些攻擊被稱為分散式阻斷服務(DDoS)攻擊,旨在用海量垃圾網路數據淹沒目標網站的網路管道,致其癱瘓下線。敲詐勒索者,乃至企圖破壞電腦網路的商業競爭對手,時常會發動此類攻擊。
諾基亞監測到數十萬台設備參與了這些攻擊。當年晚些時候,網路服務提供商Cloudflare遭受了一次史無前例的攻擊。據Cloudflare描述,那次攻擊的規模「相當於英國、德國和西班牙的全部人口同時輸入一個網址,然後在同一秒鐘按下Enter鍵」。
這個後來被稱為Kimwolf的網路似乎正是利用住宅代理連接發起了攻擊,這種手段使其具備了造成巨大破壞的潛力。
拉博維茨回憶道:「當時傳遞出的核心信號就是:該害怕了。」
Kimwolf網路中包含了大量連接到一家神秘中國公司的住宅代理設備。但這其中有些情況說不通。儘管「住宅代理」網路承載著大量惡意流量,但營運這些網路的公司通常不鼓勵DDoS攻擊。因為設備一旦參與DDoS攻擊,就會被網路大面積封鎖,這對生意沒好處。
美國聯邦調查局(Federal Bureau of Investigation)和國防部等機構同樣對此感到擔憂。
「他這是在炫耀」
班傑明.布倫戴奇並非生來就是個電腦極客。他自稱曾是個成績平平的中等生,童年時喜歡在西雅圖老家附近的荒野中探險。小時候,比起看YouTube,他更喜歡滑雪。
疫情期間由於足不出戶,布倫戴奇開始在《我的世界》(Minecraft)裡消磨大把時光。這是一款建造虛擬世界的電子遊戲,也是許多人步入編程殿堂的敲門磚。他藉此學會了編寫遊戲模組和作弊程式。
突然之間,他開始向曾是微軟(Microsoft)工程師的父親請教晦澀的Windows文件格式。
布倫戴奇沉浸在網路文化中,包括互噴垃圾話、發梗圖、開男孩子之間的玩笑,並最終觸及了駭客技術。「我當時確實在搗鼓一些小小年紀不該碰的東西,」他說。「但我很快便意識到,這會讓我誤入歧途。」
於是,他將自己的駭客技能應用於合法的網路安全研究。高中最後一年時,他在荷蘭政府的網站上發現了漏洞,並通過「漏洞賞金」項目上報——該項目旨在獎勵發現安全隱患的駭客。幾個月後,荷蘭國家網路安全中心(Dutch National Cyber Security Center)給他寄來了賞金:一件黑色T恤。上面寫著:「我駭了荷蘭政府,結果只得到了這件破T恤。」
(相關報導:
華爾街日報》揭秘美國人形機器人的中國技術「內核」
|
更多文章
)
那是他年輕的人生中最具成就感的記憶之一。他形容那種感覺就像「多巴胺狂飆」。
受此啟發,布倫戴奇迷上了網路爬蟲,這種自動化程式能夠搜集海量網頁數據進行分析。這引導他開始研究住宅代理網路。到大二結束時,他已經在細緻地對這些網路進行分類編目。
和諾基亞的拉博維茨一樣,布倫戴奇也盯上了與Kimwolf有關聯的住宅代理網路背後的中國公司。這家名為Ipidea的公司網站上沒有列出執行長或創始人,甚至連地址都沒有。它似乎以十幾個不同的商業名稱在營運。
Ipidea沒有回應就本文置評的請求。一名發言人今年早些時候告訴《華爾街日報》(The Wall Street Journal),該公司「一貫明確反對其網路上任何形式的非法或濫用行為」。
布倫戴奇會凌晨4點起床,梳理構成Ipidea複雜的跨國消費設備網路。他坐在宿舍的書桌前,耗費數小時排查接入該網路的IP地址(分配給設備的數字標籤,類似於電話號碼),隨後再去上課。他說:「我的作息非常非常詭異。」
有些夜晚,朋友們會去打保齡球或參加派對,布倫戴奇常常缺席。去年8月,他創建了自己的單人公司Synthient,並開始出售他整理出的關聯IP地址列表,以助企業防範欺詐
去年9月,為了推廣自己的公司,布倫戴奇在一個專注網路爬蟲研究的Discord群組裡發了個連結,指向他開發的一款工具。人們可以用它自查IP地址是否已上了Synthient的名單。
一周後,布倫戴奇在Discord收到一條消息,稱他的名單遺漏了一些IP地址。「你不可能檢測到所有的,」對方寫道,隨後發了幾張截圖作為證據。
「他這是在炫耀,」布倫戴奇心想。是時候發那張貓咪梗圖了。
電子相框發起的攻擊
不久之後,布倫戴奇在網上與一位匿名的網路安全研究人員聊天,對方隨後將他介紹給了網路公司Lumen的工程師克里斯.福爾摩沙(Chris Formosa)。
福爾摩沙是一個名為Big Pipes的工作組成員,該工作組由網路最重要的幾家服務提供商的數十名員工組成。一旦發生DDoS攻擊,這些技術專家通常能查明攻擊手法及背後的軟體。
但Kimwolf讓他們措手不及。福爾摩沙參加過那場丹佛會議,而直到去年10月,Big Pipes仍未解開謎團。Kimwolf似乎使用了Ipidea的網路,但具體怎麼做到的?他們是後者的客戶嗎?
布倫戴奇將自己在Discord上獲取的情報,以及他所摸清的Ipidea底細,一併告訴了福爾摩沙。
「我追蹤Ipidea快兩年了,」福爾摩沙說。「聽到一個大學生竟然掌握了他們這麼多資訊,簡直難以置信。」
不到一周,布倫戴奇就出現在Big Pipes的每周電話會議上,分享他所知道的一切。
沒過多久,Big Pipes的一家成員公司遭到了Kimwolf的網路攻擊。該公司的工程師在分析數據時發現,部分惡意流量來自一名員工的家庭住址。他們將攻擊源頭追溯到一台設備:一個發送了數十萬個垃圾封包的電子相框。
(相關報導:
華爾街日報》揭秘美國人形機器人的中國技術「內核」
|
更多文章
)
這款Apofial品牌的相框在亞馬遜(Amazon)上售價不到50美元。亞馬遜表示,該產品自去年以來一直缺貨,一旦確認第三方產品感染了惡意軟體,公司會採取行動。記者無法聯繫到Apofial置評。
這個相框成了Kimwolf的一部分……但這究竟是怎麼做到的?
期中考試期間的突破
布倫戴奇和Big Pipes的研究人員花了數周時間在全網搜尋線索。布倫戴奇加入了專門討論網頁抓取和住宅代理服務的Discord和Telegram頻道。最終,他鎖定了幾個Kimwolf營運者及其同夥活躍的頻道。
令人驚訝的是,他得到了答覆。Kimwolf的營運者自己有一個住宅代理網路,以某種方式與Ipidea的網路相連。他們在技術上很有創造力,但似乎年紀尚輕,其同夥也愛炫耀自己的功績。布倫戴奇了解到,Kimwolf的營運者每月光是維持殭屍網路(即被駭客控制的電腦網路)「大腦」伺服器的運轉,就要花費約3萬美元。這意味著其規模巨大。
同為Big Pipes成員的Akamai的研究員西曼不敢相信布倫戴奇挖到的情報。到去年10月底,西曼已經大致摸清了Kimwolf是如何潛入Ipidea網路的。但布倫戴奇想要找到鐵證。
布倫戴奇從一個提供盜版串流媒體應用的網站下載了Ipidea軟體,裝進了一部受他監控的Android手機裡。去年11月16日,正值期中考試期間,布倫戴奇發現這部手機正在與Kimwolf創建者設立的一個域名進行聯絡。
抽絲剝繭之下,他和Big Pipes團隊在Ipidea的代碼中發現了一個漏洞。Ipidea的軟體成了駭客的門戶。
Ipidea和Kimwolf的營運者並非合作夥伴。Kimwolf付費獲得了Ipidea住宅代理設備的訪問權限,然後在這些設備上安裝了自己的住宅代理軟體,從而藉機發動DDoS攻擊。然後,他們再將訪問權限出售給付費客戶,這便是網路犯罪即服務(Cybercrime-as-a-Service, CaaS)的商業模式。
布倫戴奇最終統計出約200萬台被駭設備,且每天還在以數以萬計的速度增加。它們都是Android設備:影片串流媒體系統、手機、鏡頭,當然還有電子相框。其中最暢銷的,是一款網上售價不到36美元的串流媒體設備。
期末考試
布倫戴奇找出了包括Ipidea在內的11家易受該漏洞攻擊的大型住宅代理公司,並開始起草電子郵件,向他們解釋如何修復該問題。
去年12月17日,也就是最後一門考試結束後的第二天,布倫戴奇發出了這些電子郵件。五天後,他登上飛往墨西哥的航班去過耶誕節假期,結果幾乎整個假期都因流感而生病。耶誕節在沒有發生DDoS災難的情況下過去了。
12月26日,布倫戴奇收到了Ipidea的致歉郵件。他的郵件被歸入了垃圾郵件文件夾,但他們正在修復問題。
一周後,安全博主布萊恩.克雷布斯(Brian Krebs)發表了一篇文章,重點介紹了布倫戴奇關於Kimwolf起源的研究。幾小時內,網路公司Infoblox的威脅情報主管勒妮.伯頓(Renée Burton)給布倫戴奇發了簡訊。她驚訝地發現,她四分之一的企業客戶都感染了Kimwolf軟體。
駭客們不僅打開了通往數百萬家庭網路的後門,還找到了侵入數千家公司的方法。布倫戴奇說,更老練的駭客本可以竊取企業機密、植入勒索軟體,或者創建後門以便日後重返網路。
伯頓至今仍不確定為何有如此多的企業客戶受到影響。也許是因為企業內部使用了出廠即帶毒的串流媒體設備,又或是員工在公司防火牆內的手機或平板電腦上安裝了住宅代理軟體。她說:「自去年10月以來,我們已經挖出了太多,這似乎仍只是冰山一角。」
今年1月,Google(Google)利用美國法院的一項命令,對Ipidea發起了致命一擊。Google去年發現超過1,000萬台Android設備秘密預裝了Ipidea的住宅代理軟體。Google採取法律行動,取締了該公司13個業務域名,並關閉了數十台用於支撐其住宅代理網路的伺服器。
3月19日,聯邦當局宣布搗毀了全球四大DDoS殭屍網路,包括Kimwolf。法庭文件顯示,Kimwolf曾發動超過2.6萬次DDoS攻擊,目標涉及8,000多個受害者。在官方發布的行動公報中,布倫戴奇的公司Synthient被列為了致謝對象。
業內專家表示,如今的Kimwolf已大大不如以往。網路安全公司Netscout表示,目前該網路中同時在線的活躍受控設備還剩約3萬台。
