暗网后台CyberBunker 2.0覆灭记

左璐

以“不配合政府，一切皆可”这一狂妄口号而出名的CyberBunker 2.0在德国的地堡被警方一锅端了。

9月26日，德国联邦警察精英队伍、反恐活动特种部队以及来自多个国家的警察共650余人发起了一场行动。在突破了“军事级别的安保”后，警方缴获200台服务器，没收4100万美金，同时查封了在荷兰、卢森堡、波兰的设备。六名嫌疑人在当地一家餐馆被抓获，一名嫌疑人在距离地堡130里外的施瓦尔巴赫被逮捕。

第二天的新闻发布会上，警方透露主要嫌疑犯59岁，且至少两名男子再次被指控从事非法托管业务。他们的姓名至今未公开，外界猜测很有可能是CyberBunker两位已经59岁的创始人赫尔曼·亨特和坎普赫伊斯，两个人注册的域名网站zyztm.com和cb3rob.org已被警方查封。

赫尔曼·亨特

CyberBunker常年为地下黑市等非法网站提供主机托管服务，只通过现金和比特币方式交易。虽然其对外宣称对客户的要求是禁止恐怖主义和儿童色情制品，但德国警方否认了这一说法，CyberBunker被指控为儿童色情网站、非法药物平台、被盗数据和恶意软件提供托管服务。其中包括今年四月份被警方关闭的世界上第二大暗网市场“华尔街市场”，以及贩卖毒品的“大麻之路”。在此之前还托管过最大的盗版文件分享平台“海盗湾”及维基解密的镜像网站。

2013年，CyberBunker被反垃圾邮件组织Spamhaus列入黑名单，为了报复，CyberBunker对后者发起了历史上最大的拒绝服务攻击，包括中国在内的全球网络规模受到波及。

从地堡走进公众视野

CyberBunker 2.0掩身于德国西南部小镇特拉本特拉巴赫的一片葡萄园区内，地堡共有五层，3.2英亩的围墙上方布满监控，主机安置于地下三层，内部装有温控通风及安保系统。CyberBunker官方曾宣称，即便与外界断绝所有联系，地堡也能正常维持运作十年。

2012年至2013年间，CyberBunker创始人之一赫尔曼·亨特买入这座始建于1997年的地堡，并把服务器设在了这里。

在此之前，CyberBunker的服务器位于荷兰西南部小镇胡斯的CyberBunker1.0地堡，这里原来是一处军事地堡和庇护所。CyberBunker一直对客户宣称，这里高度安全，但事实上，2002年，地堡发生过一次爆炸。这次爆炸由地堡里的另一位租户制作迷幻药剂造成，但CyberBunker受到波及，其营业执照也被官方停发。

“我们进入了 CyberBunker 1.0 地堡，并找到了一个藏在掩体内部的实验室，该实验室曾被用来生产毒品，”后来进入到荷兰CyberBunker1.0内部的警察描述，“我们还发现了几台被烧毁的服务器残骸。”

真正让CyberBunker进入公众视野的，是2013年3月向垃圾邮件组织Spamhaus发起的网络核战争。这起攻击使得包括中国用户在内的全球数百万用户遇到了网络延迟。

Spamhaus是在全球范围内打击垃圾邮件的组织，其职责包括过滤垃圾邮件，追踪互联网信息散发者，编制黑名单，名单通常是电子邮件供应商、大学研究机构、商业公司清除垃圾讯息的依据。

攻击始于Spamhaus将CyberBunker列入黑名单之后。出于报复，CyberBunker发起了“分布式拒绝服务（DDoS）”的攻击，大量机器在短时间向Spamhaus发起恶意请求，使得用户无法使用其网站。这次攻击产生的数据流达到了每秒3000亿比特，汇集的数据流比一些国家的整体互联网连接还要大。

向Spamhaus提供帮助的硅谷公司Cloudflare也是焦头烂额：“我们发现在攻击者的武器库里充满了各种各样的攻击手段，好像一个攻击者俱乐部，俱乐部的成员们把所有的工具都拿出来使用，一个不行换一个，直到有效为止。”Cloudflare的CEO普林斯说。

2016年，德国电信公司Deutsche Telekom遭到了僵尸网络攻击，导致大约90万客户的路由器无法连接，问题持续了两天。这次攻击的发起者疑似也来自CyberBunker。

“拿破仑式的庄严肃立”

因攻击Spamhaus，2013年，CyberBunker创始人之一坎普赫伊斯在西班牙小镇上被逮捕过一次。“他的面包车里拥有最齐全的计算机设备，是他发起攻击时的移动办公室。”西班牙警方说。英国《卫报》记者则发现，坎普赫伊斯的公寓里到处都是线缆和计算机设备，在凌乱的床上放著一本科幻作家尼尔·斯蒂芬森的小说《水银》。

据警方描述，坎普赫伊斯在被逮捕时“表现出一副拿破仑式的庄严肃立，他声明自己拥有外交豁免权，自称是CyberBunker共和国的通信部长和外交部长。看他的样子，并不像在开玩笑”。他所居住的巴塞罗那小镇居民说他即使是在炎热的夏天，也总是戴一顶毛绒帽子，“不会说西班牙语，不管和他说什么，他都只会用英语回答yes，yes”。

坎普赫伊斯自称是一位无政府主义者。他曾在网上对攻击事件回应道：“我们很清楚，这是世界上公开进行的最大的DDoS攻击之一。从来都没有人授权Spamhaus来决定互联网上该有哪些内容。”他觉得Spamhaus在滥用其影响力：“假装抗击垃圾讯息，实则借此攫取这一权力。”

在一封写给《纽约时报》的信中，坎普赫伊斯愤怒地说：“国际反垃圾邮件组织没有得到任何人的授权，却有权力决定哪些信息可以通过互联网，哪些信息不可以通过互联网。”

事情的走向变得略微滑稽。坎普赫伊斯被引渡至荷兰后，虽然被判了240天的刑期，但仅在拘留55天后就得到了释放，剩余的185天刑期被暂缓施行。不久，他就在社交网站上放出疑似荷兰警方派出独立作战小队袭击CyberBunker的照片，并称警方的袭击失败且缺少证据，事后不得不为其修缮损坏的“大门”。但这一说法并未得到警方的证实。

爱尔兰的《周日世界》报纸把CyberBunker另一位创始人赫尔曼·亨特比喻成詹姆斯·邦德电影中的恶棍。他有一头金发，碧蓝的瞳孔，体形偏胖，他曾被外界怀疑是引爆CyberBunker1.0制药坊的老板，但并无证据。

漫长的战争

这之后的某个时间点，CyberBunker把服务器运到了德国，开启了其2.0时代。外界并不清楚这次搬家是否与荷兰警方的突袭有关，警方也未披露其搬到德国这处地堡的原因。

2.0版的CyberBunker不仅为世界上最隐秘的暗网提供托管服务，同时还在地下举行各种毒品、武器的买卖活动。2015年，这个组织帮助世界上最大的BT种子网站“海盗湾”涅槃重生。和多数主机托管服务公司不同，只要支付足够的费用，CyberBunker实行“不问也不说”的交易规则。

比起可自建主机的客户，选择托管服务的公司大都对保密和安全性拥有极高的要求，这其中包括商业机构、地下非法组织以及各国政府。因此提供服务的公司都选址在极为坚固或隐蔽的建筑内，比如军事工防，防弹主机因此得名。

9月27日，德国特拉本特拉巴赫，德国警方将一处北约地堡查封，这里是“防弹主机”服务器的所在地（东方IC 图）

2018 年6月11日，德国弗赖堡，一对德国夫妻两年来在暗网将9岁儿子“出售”给恋童癖，当地民众在法院门前抗议不齿行径（东方IC 图）

这类提供者通常选择相关法律和引渡条例更为宽松的国家，且同时设置在多个国家，以便更好地应对突发状况和事后逃脱法律制裁，比如荷兰、瑞典、波兰等。

防弹主机因此也成为了“很多犯罪甚至国家网络攻击的发源地”。班霍夫主机托管公司位于瑞典首都斯德哥尔摩的山脚下，这所公司此前也曾为维基解密提供服务。公司CEO 约翰·卡隆形容自己的职责就像是提供邮局服务，“我们并不阅读邮件，仅仅传递”。安全软件提供商诺顿的首席安全官认为，如果这些公司真的只是像邮局一样，那就应该对其所托管的客户进行监管，而非不管不问，就像邮局绝不会传递一个炸弹。

这几年，各国都加强了对暗网组织的打击，头部暗网平台几乎被各国警察联手团灭。2013年，当时最大的暗网“丝绸之路”创始人及运营者在美国被捕，判决终身监禁。2017年，取代“丝绸之路”成为最大规模暗网平台的“阿尔法湾”被美国警方关闭，创始人在羁押期间死亡。同一天，大西洋另一端的荷兰警方干掉了第三大暗网交易平台“汉萨”。俄罗斯警方同年8月查封了第四大暗网交易平台“俄罗斯匿名市场”。

但关闭网站和抓捕创始人并不意味着一劳永逸。“暗网的用户已证明他们相当有恢复力。出现新的暗网平台填补空白可能只是时间问题。”美国智库兰德公司暗网研究专家保利在接受新华社记者采访时表示担忧，“暗网问题很难解决，原因有多种，其中最重要的一点可能是跨国犯罪的复杂性与多层匿名机制的复杂性结合到了一起，因此很难确定有关个人的身份以及他们与犯罪活动之间的联系。”

此次攻入地堡的行动之前，德國警方已经进行了耗时五年的调查，对犯罪数据的分析和庭审预计也将长达数年。

近日，坎普赫伊斯的个人社交网站主页仍在不断更新，他最新转发了瑞典女孩格雷塔的相关新闻。在他的个人介绍里，仍是CyberBunker 共和国通信部和外交部长头衔，粉丝量有351人。其管理的“匿名世界”账号介绍写道：“匿名者不是一个群体，而是一个所有被压迫的人可以使用的名字，你不一定要掌握黑客技术，每个人都有其自己的才能。”

仅在警察行动的20天后，cb3rob.org网站显示已被CyberBunker重新夺回。博弈仍在继续。