Popov 离开后,“蚂蚁城市”项目也永久结束了。从Hilbert统计的数据来看,这个项目从黑市中挽救了大约40万条被盗信用卡资料,向700多家已被东欧黑客攻击的公司发出了警示,并最终对10名嫌疑犯提出指控(包括“脚本”),但没有引渡任何一个人。
Popov返回乌克兰之后一直与Hilbert保持联系。Popov创办了一个网络安全公司,名为网络犯罪监控系统(Cybercrime Monitoring Systems,简称 Cycmos)。就像Popov描述的那样,Cycmos窥探地下,向犯罪分子盯上的目标企业销售情报。听起来Popov已经开始利用他在“蚂蚁城市”中培养的技能,做上了合法的生意。而且Popov也不忘旧情,给Hilbert提供了不少线索。
重大发现,合力挽救FBI危机
2004年新年前夕,Hilbert的手机响了。电话那头的Popov说:“嘿,你知道吗,我这里听到了一点儿新风声。”他解释称,一些美国公司和机构遭受了重大入侵,而且,值得注意的是,FBI本身也是这次入侵的受害者。
Popov当时一直在监视一个俄罗斯黑客团伙,该团伙十分精通X.25网络技术。虽然在2004年的时候,X.25已经过时,但全球各地数以千计的公司和政府机构仍在继续使用这种技术。
俄罗斯黑客团伙就是利用了这一点入侵了美国公司。但他们攻击的一个目标令人震惊。黑客们攻破了新泽西州的AT&T的数据中心,而一些美国政府机构的电邮服务器就设在那里。FBI也是这个数据中心的用户之一,因此,只要FBI特工使用了 http:// FBI.gov 邮箱,他们的邮件就可以被俄罗斯黑客看到。
收到线报后,Hilbert马上给主管打了电话。很快,他就坐上了前往华盛顿特区的飞机,开始负责调查此事。Hilbert安排FBI向Cycmos支付了1万美元,用来取回被盗的有所资料,并查出涉案黑客的身份。Popov提供了两份文件,表示是从FBI的收件箱中窃取的:一份是11页的保密卷宗,涉及CarderPlanet的主要人物,另一份是FBI和特勤局的网络犯罪打击目标列表,按管辖区分类。
列表的日期是在六个月前,标有“执法敏感”和“不要通过互联网传递”字样。对于地下犯罪分子来说,这是一个潜在的金矿,里面甚至包含了一些真实姓名。事情很严重,Hilbert向Popov寻求更多信息。
这时,Popov把Hilbert带到一个地下聊天室,说在那里可以找到X.25团伙的俄罗斯头目。Hilbert很快就和圣彼得堡工程专业的学生Leonid“Eadle” Sokolov聊上了。在Hilbert的追问下,Sokolov承认是自己入侵了AT&T的数据中心,窃取了文件。Hilbert找到了元凶。这是Hilbert职业生涯中最重大的案子。
风波再起,身份遭质疑
但是插曲总在不经意处上演。2005年2月10日,Hilbert被召到J·埃德加·胡佛大楼的会议室,5名主管围坐在桌子旁,免提话筒里传来一名联邦检察官愤怒的声音。
原来,还有其他公司遭到了X.25黑客攻击,而且Popov已经联系了他们,主动提出要为他们提供帮助。其中一家受害公司是总部位于波士顿的跨国公司EMC,入侵者窃取了该公司著名的虚拟机软件VMware的源代码。如果这些代码传播出去,全球各地的黑客就可以利用它的安全漏洞干坏事了。VMware可以把一台服务器“变成”好几台互不相干的虚拟计算机。因此,黑客有可能会找到一种方法,从一台虚拟机“溜出去”,掌握底层系统的控制权。
Popov有一个做生意用的化名,叫作“Denis Pinhaus”,他用这个化名联系了EMC,告诉他们已经遭到黑客攻击,如果EMC开的价合适,他就可以阻止被盗的源代码被泄露。他还向EMC提供了一份关于入侵的详细技术分析,表示有一名FBI特工可以做他的担保人,这名特工就是Hilbert。
EMC显然是把这事当成了勒索行为,他们向波士顿的美国联邦检察官办公室报了案。案子交到了Stephen Heymann手里,他是一名非常强势的网络犯罪检察官,后来因为控告互联网活动家亚伦·斯沃茨(Aaron Swartz)而招致恶名。(注:斯沃茨是电影《互联网之子》的原型,出生于1986年,14时就参与了RSS1.0的制定,后成为社交新闻网站Reddit的创始人之一,也是web.py框架的创始人。2013年1月11日斯沃茨自杀身亡后,美国地方法庭撤销了对他的数字盗窃的控告)。
现在,Heymann在免提通话中要求他们回答:谁是Pinhaus?Hilbert解释说,Pinhaus是FBI的线人,协助参与紧急调查。但是Heymann不为所动。他希望用勒索罪名指控那个乌克兰人。他要求Hilbert提供线人的真实姓名。
Hilbert拒绝了。他说,Heymann可以对这个化名立案,从FBI其他人那里获得他的真实身份。不过别打算从Hilbert那里得到线索。
这可把检察官惹火了,因为之前有一桩类似的线人丑闻还未完全平息。检察官咆哮起来,一名主管命令Hilbert离开房间。
Hilbert离开之后,打开了计算机,发信息让Popov别再和EMC接触。
Hilbert回到了AT&T的案子上。Sokolov遭到了指控,一份国际刑警红色通缉令秘密发出,只要他离开俄罗斯,进入一个和美国有引渡协议的国家,就会遭到逮捕。Popov收到了钱,还收到了FBI发送的嘉奖信。信中说,“我们对你提供的协助表示感谢。”
成也Popov,败也Popov
没有人愿意回顾信息失窃的黑历史。对于 http:// FBI.gov 邮件泄露事件,唯一的公开报道就是2005年《新闻周刊》发表的一篇文章。FBI努力淡化这桩糗事,声称失窃的邮件中没有敏感资料。
对于与波士顿检察官之间发生的争吵,Hilbert也没有放在心上。但是四个月后,FBI突然下令Hilbert切断与Popov的一切联系,并交出18个月来他们网上聊天的600多页记录。不久后,他被调离网络犯罪部门,参与反恐行动。
Hilbert全身心地投入到新任务中,但时间一长,他就发现事情有些不对劲。他没有评上激励奖,一些相识多年的特工也疏远了他。2006年8月,他申请了洛杉矶外勤主管的职位。但当候选名单达到总部时,Hilbert自己的名字不在里面,而且被告知不能重新申请。“这到底是怎么回事?”Hilbert问他的上司。这时他才发现,自己正在受司法部的调查,而其他人似乎都已经知道了这件事。司法部监察长办公室已经对Hilbert进行了一年的调查,怀疑他参与了欺诈政府的阴谋,泄露了机密执法信息——他曾警告Popov不要再和EMC接触。
发表评论