暗網(wǎng)后臺CyberBunker 2.0覆滅記

左璐

以“不配合政府，一切皆可”這一狂妄口號而出名的CyberBunker 2.0在德國的地堡被警方一鍋端了。

9月26日，德國聯(lián)邦警察精英隊伍、反恐活動特種部隊以及來自多個國家的警察共650余人發(fā)起了一場行動。在突破了“軍事級別的安?！焙?，警方繳獲200臺服務(wù)器，沒收4100萬美金，同時查封了在荷蘭、盧森堡、波蘭的設(shè)備。六名嫌疑人在當(dāng)?shù)匾患也宛^被抓獲，一名嫌疑人在距離地堡130里外的施瓦爾巴赫被逮捕。

第二天的新聞發(fā)布會上，警方透露主要嫌疑犯59歲，且至少兩名男子再次被指控從事非法托管業(yè)務(wù)。他們的姓名至今未公開，外界猜測很有可能是CyberBunker兩位已經(jīng)59歲的創(chuàng)始人赫爾曼·亨特和坎普赫伊斯，兩個人注冊的域名網(wǎng)站zyztm.com和cb3rob.org已被警方查封。

赫爾曼·亨特

CyberBunker常年為地下黑市等非法網(wǎng)站提供主機托管服務(wù)，只通過現(xiàn)金和比特幣方式交易。雖然其對外宣稱對客戶的要求是禁止恐怖主義和兒童色情制品，但德國警方否認了這一說法，CyberBunker被指控為兒童色情網(wǎng)站、非法藥物平臺、被盜數(shù)據(jù)和惡意軟件提供托管服務(wù)。其中包括今年四月份被警方關(guān)閉的世界上第二大暗網(wǎng)市場“華爾街市場”，以及販賣毒品的“大麻之路”。在此之前還托管過最大的盜版文件分享平臺“海盜灣”及維基解密的鏡像網(wǎng)站。

2013年，CyberBunker被反垃圾郵件組織Spamhaus列入黑名單，為了報復(fù)，CyberBunker對后者發(fā)起了歷史上最大的拒絕服務(wù)攻擊，包括中國在內(nèi)的全球網(wǎng)絡(luò)規(guī)模受到波及。

從地堡走進公眾視野

CyberBunker 2.0掩身于德國西南部小鎮(zhèn)特拉本特拉巴赫的一片葡萄園區(qū)內(nèi)，地堡共有五層，3.2英畝的圍墻上方布滿監(jiān)控，主機安置于地下三層，內(nèi)部裝有溫控通風(fēng)及安保系統(tǒng)。CyberBunker官方曾宣稱，即便與外界斷絕所有聯(lián)系，地堡也能正常維持運作十年。

2012年至2013年間，CyberBunker創(chuàng)始人之一赫爾曼·亨特買入這座始建于1997年的地堡，并把服務(wù)器設(shè)在了這里。

在此之前，CyberBunker的服務(wù)器位于荷蘭西南部小鎮(zhèn)胡斯的CyberBunker1.0地堡，這里原來是一處軍事地堡和庇護所。CyberBunker一直對客戶宣稱，這里高度安全，但事實上，2002年，地堡發(fā)生過一次爆炸。這次爆炸由地堡里的另一位租戶制作迷幻藥劑造成，但CyberBunker受到波及，其營業(yè)執(zhí)照也被官方停發(fā)。

“我們進入了 CyberBunker 1.0 地堡，并找到了一個藏在掩體內(nèi)部的實驗室，該實驗室曾被用來生產(chǎn)毒品，”后來進入到荷蘭CyberBunker1.0內(nèi)部的警察描述，“我們還發(fā)現(xiàn)了幾臺被燒毀的服務(wù)器殘骸?！?/p>

真正讓CyberBunker進入公眾視野的，是2013年3月向垃圾郵件組織Spamhaus發(fā)起的網(wǎng)絡(luò)核戰(zhàn)爭。這起攻擊使得包括中國用戶在內(nèi)的全球數(shù)百萬用戶遇到了網(wǎng)絡(luò)延遲。

Spamhaus是在全球范圍內(nèi)打擊垃圾郵件的組織，其職責(zé)包括過濾垃圾郵件，追蹤互聯(lián)網(wǎng)信息散發(fā)者，編制黑名單，名單通常是電子郵件供應(yīng)商、大學(xué)研究機構(gòu)、商業(yè)公司清除垃圾訊息的依據(jù)。

攻擊始于Spamhaus將CyberBunker列入黑名單之后。出于報復(fù)，CyberBunker發(fā)起了“分布式拒絕服務(wù)（DDoS）”的攻擊，大量機器在短時間向Spamhaus發(fā)起惡意請求，使得用戶無法使用其網(wǎng)站。這次攻擊產(chǎn)生的數(shù)據(jù)流達到了每秒3000億比特，匯集的數(shù)據(jù)流比一些國家的整體互聯(lián)網(wǎng)連接還要大。

向Spamhaus提供幫助的硅谷公司Cloudflare也是焦頭爛額：“我們發(fā)現(xiàn)在攻擊者的武器庫里充滿了各種各樣的攻擊手段，好像一個攻擊者俱樂部，俱樂部的成員們把所有的工具都拿出來使用，一個不行換一個，直到有效為止。”Cloudflare的CEO普林斯說。

2016年，德國電信公司Deutsche Telekom遭到了僵尸網(wǎng)絡(luò)攻擊，導(dǎo)致大約90萬客戶的路由器無法連接，問題持續(xù)了兩天。這次攻擊的發(fā)起者疑似也來自CyberBunker。

“拿破侖式的莊嚴肅立”

因攻擊Spamhaus，2013年，CyberBunker創(chuàng)始人之一坎普赫伊斯在西班牙小鎮(zhèn)上被逮捕過一次?！八拿姘嚴飺碛凶铨R全的計算機設(shè)備，是他發(fā)起攻擊時的移動辦公室?！蔽靼嘌谰秸f。英國《衛(wèi)報》記者則發(fā)現(xiàn)，坎普赫伊斯的公寓里到處都是線纜和計算機設(shè)備，在凌亂的床上放著一本科幻作家尼爾·斯蒂芬森的小說《水銀》。

據(jù)警方描述，坎普赫伊斯在被逮捕時“表現(xiàn)出一副拿破侖式的莊嚴肅立，他聲明自己擁有外交豁免權(quán)，自稱是CyberBunker共和國的通信部長和外交部長?？此臉幼?，并不像在開玩笑”。他所居住的巴塞羅那小鎮(zhèn)居民說他即使是在炎熱的夏天，也總是戴一頂毛絨帽子，“不會說西班牙語，不管和他說什么，他都只會用英語回答yes，yes”。

坎普赫伊斯自稱是一位無政府主義者。他曾在網(wǎng)上對攻擊事件回應(yīng)道：“我們很清楚，這是世界上公開進行的最大的DDoS攻擊之一。從來都沒有人授權(quán)Spamhaus來決定互聯(lián)網(wǎng)上該有哪些內(nèi)容?！彼X得Spamhaus在濫用其影響力：“假裝抗擊垃圾訊息，實則借此攫取這一權(quán)力。”

在一封寫給《紐約時報》的信中，坎普赫伊斯憤怒地說：“國際反垃圾郵件組織沒有得到任何人的授權(quán)，卻有權(quán)力決定哪些信息可以通過互聯(lián)網(wǎng)，哪些信息不可以通過互聯(lián)網(wǎng)。”

事情的走向變得略微滑稽。坎普赫伊斯被引渡至荷蘭后，雖然被判了240天的刑期，但僅在拘留55天后就得到了釋放，剩余的185天刑期被暫緩施行。不久，他就在社交網(wǎng)站上放出疑似荷蘭警方派出獨立作戰(zhàn)小隊襲擊CyberBunker的照片，并稱警方的襲擊失敗且缺少證據(jù)，事后不得不為其修繕損壞的“大門”。但這一說法并未得到警方的證實。

愛爾蘭的《周日世界》報紙把CyberBunker另一位創(chuàng)始人赫爾曼·亨特比喻成詹姆斯·邦德電影中的惡棍。他有一頭金發(fā)，碧藍的瞳孔，體形偏胖，他曾被外界懷疑是引爆CyberBunker1.0制藥坊的老板，但并無證據(jù)。

漫長的戰(zhàn)爭

這之后的某個時間點，CyberBunker把服務(wù)器運到了德國，開啟了其2.0時代。外界并不清楚這次搬家是否與荷蘭警方的突襲有關(guān)，警方也未披露其搬到德國這處地堡的原因。

2.0版的CyberBunker不僅為世界上最隱秘的暗網(wǎng)提供托管服務(wù)，同時還在地下舉行各種毒品、武器的買賣活動。2015年，這個組織幫助世界上最大的BT種子網(wǎng)站“海盜灣”涅槃重生。和多數(shù)主機托管服務(wù)公司不同，只要支付足夠的費用，CyberBunker實行“不問也不說”的交易規(guī)則。

比起可自建主機的客戶，選擇托管服務(wù)的公司大都對保密和安全性擁有極高的要求，這其中包括商業(yè)機構(gòu)、地下非法組織以及各國政府。因此提供服務(wù)的公司都選址在極為堅固或隱蔽的建筑內(nèi)，比如軍事工防，防彈主機因此得名。

9月27日，德國特拉本特拉巴赫，德國警方將一處北約地堡查封，這里是“防彈主機”服務(wù)器的所在地（東方IC 圖）

2018 年6月11日，德國弗賴堡，一對德國夫妻兩年來在暗網(wǎng)將9歲兒子“出售”給戀童癖，當(dāng)?shù)孛癖娫诜ㄔ洪T前抗議不齒行徑（東方IC 圖）

這類提供者通常選擇相關(guān)法律和引渡條例更為寬松的國家，且同時設(shè)置在多個國家，以便更好地應(yīng)對突發(fā)狀況和事后逃脫法律制裁，比如荷蘭、瑞典、波蘭等。

防彈主機因此也成為了“很多犯罪甚至國家網(wǎng)絡(luò)攻擊的發(fā)源地”。班霍夫主機托管公司位于瑞典首都斯德哥爾摩的山腳下，這所公司此前也曾為維基解密提供服務(wù)。公司CEO 約翰·卡隆形容自己的職責(zé)就像是提供郵局服務(wù)，“我們并不閱讀郵件，僅僅傳遞”。安全軟件提供商諾頓的首席安全官認為，如果這些公司真的只是像郵局一樣，那就應(yīng)該對其所托管的客戶進行監(jiān)管，而非不管不問，就像郵局絕不會傳遞一個炸彈。

這幾年，各國都加強了對暗網(wǎng)組織的打擊，頭部暗網(wǎng)平臺幾乎被各國警察聯(lián)手團滅。2013年，當(dāng)時最大的暗網(wǎng)“絲綢之路”創(chuàng)始人及運營者在美國被捕，判決終身監(jiān)禁。2017年，取代“絲綢之路”成為最大規(guī)模暗網(wǎng)平臺的“阿爾法灣”被美國警方關(guān)閉，創(chuàng)始人在羈押期間死亡。同一天，大西洋另一端的荷蘭警方干掉了第三大暗網(wǎng)交易平臺“漢薩”。俄羅斯警方同年8月查封了第四大暗網(wǎng)交易平臺“俄羅斯匿名市場”。

但關(guān)閉網(wǎng)站和抓捕創(chuàng)始人并不意味著一勞永逸?！鞍稻W(wǎng)的用戶已證明他們相當(dāng)有恢復(fù)力。出現(xiàn)新的暗網(wǎng)平臺填補空白可能只是時間問題。”美國智庫蘭德公司暗網(wǎng)研究專家保利在接受新華社記者采訪時表示擔(dān)憂，“暗網(wǎng)問題很難解決，原因有多種，其中最重要的一點可能是跨國犯罪的復(fù)雜性與多層匿名機制的復(fù)雜性結(jié)合到了一起，因此很難確定有關(guān)個人的身份以及他們與犯罪活動之間的聯(lián)系。”

此次攻入地堡的行動之前，德國警方已經(jīng)進行了耗時五年的調(diào)查，對犯罪數(shù)據(jù)的分析和庭審預(yù)計也將長達數(shù)年。

近日，坎普赫伊斯的個人社交網(wǎng)站主頁仍在不斷更新，他最新轉(zhuǎn)發(fā)了瑞典女孩格雷塔的相關(guān)新聞。在他的個人介紹里，仍是CyberBunker 共和國通信部和外交部長頭銜，粉絲量有351人。其管理的“匿名世界”賬號介紹寫道：“匿名者不是一個群體，而是一個所有被壓迫的人可以使用的名字，你不一定要掌握黑客技術(shù)，每個人都有其自己的才能。”

僅在警察行動的20天后，cb3rob.org網(wǎng)站顯示已被CyberBunker重新奪回。博弈仍在繼續(xù)。