Cómo una estafa de Minecraft en un dormitorio hizo caer Internet

Lo que Anna-senpai no sabía cuando volcó el código fuente era que el FBI ya había pasado por suficientes aros digitales para señalar a Jha como probable sospechoso, y lo había hecho desde una posición poco probable: Anchorage, Alaska.

El hecho de que una de las grandes historias de Internet de 2016 acabara en un juzgado de Anchorage el pasado viernes -guiado por el fiscal adjunto de los Estados Unidos Adam Alexander a una declaración de culpabilidad apenas un año después del delito original, un ritmo notablemente rápido para los ciberdelitos- fue un momento señalado en sí mismo, que marca una importante maduración en el enfoque nacional del FBI hacia los ciberdelitos.

Hasta hace poco, casi todos los principales procesos de ciberdelincuencia del FBI salían de un puñado de oficinas como Washington, Nueva York, Pittsburgh y Atlanta. Ahora, sin embargo, un número cada vez mayor de oficinas está adquiriendo la sofisticación y los conocimientos necesarios para resolver casos de Internet que requieren mucho tiempo y son técnicamente complejos.

Peterson es un veterano del equipo cibernético más famoso del FBI, una brigada pionera en Pittsburgh que ha elaborado casos innovadores, como el de cinco piratas informáticos del EPL chino. En esa brigada, Peterson -un estudiante universitario de ciencias informáticas y ayudante del Cuerpo de Marines, enérgico y con ganas de trabajar, que se desplegó dos veces en Irak antes de incorporarse a la oficina, y que ahora forma parte del equipo SWAT del FBI en Alaska- ayudó a dirigir la investigación de la red de bots GameOver Zeus que tenía como objetivo al hacker ruso Evgeny Bogachev, que sigue en libertad con una recompensa de 3 millones de dólares por su captura.

A menudo, los agentes del FBI acaban alejándose de sus especialidades principales a medida que avanza su carrera; en los años posteriores al 11-S, una de las pocas docenas de agentes de habla árabe de la oficina acabó dirigiendo una brigada que investigaba a los supremacistas blancos. Pero Peterson siguió centrado en los casos cibernéticos incluso cuando se trasladó hace casi dos años a su estado natal, Alaska, donde se unió a la brigada cibernética más pequeña del FBI: sólo cuatro agentes, supervisados por Walton, un antiguo agente de contrainteligencia rusa, y asociado a Klein, un antiguo administrador de sistemas UNIX.

El pequeño equipo, sin embargo, ha llegado a tener un papel destacado en las batallas de ciberseguridad del país, especializándose en ataques DDoS y botnets. A principios de este año, la brigada de Anchorage fue fundamental en el desmantelamiento de la red de bots Kelihos, dirigida por Peter Yuryevich Levashov, alias «Peter del Norte», un hacker detenido en España en abril.

En parte, dice Marlin Ritzman, el agente especial a cargo de la Oficina de Campo de Anchorage del FBI, esto se debe a que la geografía de Alaska hace que los ataques de denegación de servicio sean particularmente personales.

«Alaska tiene una posición única con nuestros servicios de Internet: muchas comunidades rurales dependen de Internet para llegar al mundo exterior», dice Ritzman. «Un ataque de denegación de servicio podría cortar las comunicaciones de comunidades enteras aquí arriba, no se trata sólo de un negocio u otro. Es importante que ataquemos esa amenaza».

El montaje del caso Mirai fue lento para la brigada de cuatro agentes de Anchorage, incluso mientras trabajaban estrechamente con docenas de empresas e investigadores del sector privado para reconstruir un retrato global de una amenaza sin precedentes.

Antes de poder resolver un caso internacional, la brigada del FBI, dada la forma descentralizada en que trabajan los tribunales federales y el Departamento de Justicia, tuvo que demostrar que Mirai existía en su jurisdicción particular, Alaska.

Para establecer los fundamentos de un caso penal, la brigada localizó minuciosamente dispositivos IoT infectados con direcciones IP en toda Alaska, y luego emitió citaciones a la principal empresa de telecomunicaciones del estado, GCI, para adjuntar un nombre y una ubicación física. A continuación, los agentes recorrieron el estado para entrevistar a los propietarios de los dispositivos y comprobar que no habían dado permiso para que sus compras de IoT fueran secuestradas por el malware Mirai.

Si bien algunos dispositivos infectados estaban cerca, en Anchorage, otros estaban más lejos; dada la lejanía de Alaska, la recogida de algunos dispositivos requirió viajes en avión a comunidades rurales. En una empresa de servicios públicos rural que también proporcionaba servicios de Internet, los agentes encontraron a un entusiasta ingeniero de redes que ayudó a localizar los dispositivos comprometidos.

Después de incautar los dispositivos infectados y transportarlos a la oficina de campo del FBI -un edificio de poca altura situado a pocas manzanas del agua en la ciudad más poblada de Alaska- los agentes, contra todo pronóstico, tuvieron que volver a conectarlos. Como el malware Mirai sólo existe en la memoria flash, se borraba cada vez que se apagaba o reiniciaba el dispositivo. Los agentes tenían que esperar a que el dispositivo fuera reinfectado por Mirai; por suerte, la red de bots era tan infecciosa y se propagaba tan rápidamente que los dispositivos no tardaban en ser reinfectados.

A partir de ahí, el equipo trabajó para rastrear las conexiones de la red de bots hasta el servidor de control principal de Mirai. Luego, armados con órdenes judiciales, pudieron rastrear las direcciones de correo electrónico asociadas y los números de teléfono móvil utilizados para esas cuentas, estableciendo y vinculando los nombres a las cajas.

«Fue un montón de seis grados de Kevin Bacon», explica Walton. «En un momento dado, el caso se empantanó porque los autores de Mirai habían establecido en Francia un llamado popped box, un dispositivo comprometido que utilizaban como nodo VPN de salida de Internet, ocultando así la ubicación real y los ordenadores físicos utilizados por los creadores de Mirai.

Como se vio, habían secuestrado un ordenador que pertenecía a un niño francés interesado en el anime japonés. Dado que, según un chat filtrado, Mirai había sido bautizado con el nombre de una serie de anime de 2011, Mirai Nikki, y que el seudónimo de la autora era Anna-Senpai, el chico francés era un sospechoso inmediato.

«El perfil coincidía con el de alguien que esperábamos que estuviera involucrado en el desarrollo de Mirai», dice Walton; a lo largo del caso, dada la conexión con OVH, el FBI colaboró estrechamente con las autoridades francesas, que estuvieron presentes mientras se llevaban a cabo algunas de las órdenes de registro.

«Los actores eran muy sofisticados en su seguridad online», dice Peterson. «Me he enfrentado a algunos tipos realmente duros, y estos tipos eran tan buenos o mejores que algunos de los equipos de Europa del Este a los que me he enfrentado».

Además de la complejidad, el propio DDoS es un delito notoriamente difícil de probar; incluso el simple hecho de demostrar que el delito ocurrió puede ser extraordinariamente difícil después del hecho. «El DDoS puede ocurrir en el vacío, a menos que una empresa capture los registros de la manera correcta», dice Peterson. Klein, un antiguo administrador de UNIX que creció jugando con Linux, pasó semanas reuniendo pruebas y recomponiendo datos para mostrar cómo se desarrollaron los ataques DDoS.

En los dispositivos comprometidos, tuvieron que reconstruir cuidadosamente los datos de tráfico de la red y estudiar cómo el código Mirai lanzaba los llamados «paquetes» contra sus objetivos, un proceso forense poco conocido, conocido como análisis de datos PCAP (captura de paquetes). Piensa en ello como el equivalente digital a la búsqueda de huellas dactilares o residuos de disparos. «Era el software de DDoS más complejo que he encontrado», afirma Klein.

El FBI localizó a los sospechosos a finales de año: Las fotos de los tres colgaron durante meses en la pared de la oficina de campo de Anchorage, donde los agentes los apodaron la «manada de lobatos», un guiño a su juventud. (Otra sospechosa de mayor edad en un caso no relacionado, cuya foto también colgaba en el tablero, fue apodada la «Madre de la Guarida»)

El periodista de seguridad Brian Krebs, una de las primeras víctimas de Mirai, señaló públicamente a Jha y White en enero de 2017. La familia de Jha negó inicialmente su implicación, pero el viernes él, White y Norman se declararon culpables de conspiración para violar la Ley de Fraude y Abuso Informático, el principal cargo penal del gobierno para los ciberdelitos. La unidad de delitos informáticos del Departamento de Justicia en Washington, DC, desveló los cargos el miércoles.

Jha también fue acusado -y se declaró culpable- de una extraña serie de ataques DDoS que interrumpieron las redes informáticas del campus de Rutgers durante dos años. A partir del primer año en que Jha estudiaba allí, Rutgers comenzó a sufrir lo que finalmente sería una docena de ataques DDoS que interrumpieron las redes, todos ellos coincidiendo con los exámenes parciales. En ese momento, un individuo anónimo en línea presionó a la universidad para que comprara mejores servicios de mitigación de DDoS, que, como resulta, era exactamente el negocio que el propio Jha estaba tratando de construir.

En una sala del tribunal de Trenton el miércoles, Jha -llevando un traje conservador y las gafas de montura oscura familiares de su antiguo retrato de LinkedIn- dijo al tribunal que dirigió los ataques contra su propio campus cuando serían más perjudiciales -específicamente durante los exámenes parciales, los finales, y cuando los estudiantes estaban tratando de inscribirse en clase.

«De hecho, programó sus ataques porque quería sobrecargar el servidor central de autenticación cuando fuera más devastador para Rutgers», preguntó el fiscal federal.

«Sí», dijo Jha.

De hecho, que los tres sabios de la informática acabaran construyendo una mejor ratonera DDoS no es necesariamente sorprendente; era un área de intenso interés intelectual para ellos. Según sus perfiles en Internet, Jha y White habían estado trabajando juntos para crear una empresa de mitigación de DDoS; el mes anterior a la aparición de Mirai, la firma del correo electrónico de Jha lo describía como «Presidente, ProTraf Solutions, LLC, Enterprise DDoS Mitigation».

Como parte de la construcción de Mirai, cada miembro del grupo tenía su propio papel, según los documentos judiciales. Jha escribió gran parte del código original y sirvió como principal punto de contacto en línea en los foros de hacking, utilizando el apodo de Anna-senpai.

White, que utilizó los apodos en línea Lightspeed y thegenius, dirigió gran parte de la infraestructura de la red de bots, diseñando el potente escáner de Internet que ayudó a identificar los dispositivos potenciales para infectar. La velocidad y eficacia del escáner fue un factor clave en la capacidad de Mirai para competir con otras redes de bots como vDOS el pasado otoño; en el punto álgido de Mirai, un experimento de The Atlantic descubrió que un dispositivo IoT falso creado por la publicación en línea se veía comprometido en una hora.

Según los documentos judiciales, Dalton Norman -cuyo papel en la red de bots Mirai se desconocía hasta que se desvelaron los acuerdos de declaración de culpabilidad- trabajó para identificar los denominados exploits de día cero que hicieron que Mirai fuera tan potente. Según los documentos judiciales, identificó e implementó cuatro de estas vulnerabilidades desconocidas por los fabricantes de dispositivos como parte del código operativo de Mirai, y luego, a medida que Mirai crecía, trabajó para adaptar el código para ejecutar una red mucho más poderosa de lo que habían imaginado.

Jha llegó a interesarse por la tecnología muy pronto; según su página de LinkedIn, ahora eliminada, se describía a sí mismo como «altamente auto-motivado» y explicaba que empezó a enseñarse a sí mismo a programar en séptimo grado. Su interés por la ciencia y la tecnología era muy amplio: Al año siguiente, ganó el segundo premio en la feria de ciencias de octavo grado en la Park Middle School de Fanwood, Nueva Jersey, por su proyecto de ingeniería que estudiaba el impacto de los terremotos en los puentes. En 2016, se declaraba competente en «C#, Java, Golang, C, C++, PHP, x86 ASM, por no hablar de los «lenguajes de navegación» como Javascript y HTML/CSS». (Una de las primeras pistas para Krebs de que Jha estaba probablemente involucrado en Mirai fue que la persona que se hacía llamar Anna-Senpai había enumerado sus habilidades diciendo: «Estoy muy familiarizada con la programación en una variedad de lenguajes, incluyendo ASM, C, Go, Java, C# y PHP».)

No es la primera vez que adolescentes y estudiantes universitarios han expuesto debilidades clave en Internet: El primer gran gusano informático fue desatado en noviembre de 1988 por Robert Morris, entonces estudiante de Cornell, y la primera gran intrusión en las redes informáticas del Pentágono -un caso conocido como Solar Sunrise- se produjo una década después, en 1998; fue obra de dos adolescentes californianos en concierto con un contemporáneo israelí. El DDoS propiamente dicho surgió en el año 2000, desencadenado por un adolescente de Quebec, Michael Calce, que se conectaba a Internet con el apodo de Mafiaboy. El 7 de febrero de 2000, Calce puso en marcha una red de ordenadores zombis que había reunido a partir de redes universitarias contra Yahoo, que era entonces el mayor motor de búsqueda de Internet. A media mañana ya había paralizado al gigante de la tecnología, ralentizando el sitio hasta el punto de que, en los días siguientes, Calce atacó otros sitios web importantes como Amazon, CNN, eBay y ZDNet.

En una conferencia telefónica en la que se anunciaron las declaraciones de culpabilidad el miércoles, el vicefiscal general interino del Departamento de Justicia, Richard Downing, dijo que el caso Mirai ponía de manifiesto los peligros de los jóvenes usuarios de ordenadores que se pierden en Internet, y afirmó que el Departamento de Justicia tenía previsto ampliar sus esfuerzos de divulgación entre los jóvenes.

«Ciertamente me han hecho sentir muy viejo e incapaz de seguir el ritmo», bromeó el miércoles el fiscal Adam Alexander.

Lo que realmente sorprendió a los investigadores, sin embargo, fue que una vez que tuvieron a Jha, White y Norman en el punto de mira, descubrieron que los creadores de Mirai ya habían encontrado un nuevo uso para su potente botnet: Habían abandonado los ataques DDoS por algo de menor perfil, pero también lucrativo.

Estaban utilizando su red de bots para llevar a cabo un elaborado esquema de fraude de clics, dirigiendo unos 100.000 dispositivos IoT comprometidos, en su mayoría routers y módems domésticos, para que visitaran en masa enlaces publicitarios, haciendo parecer que eran usuarios habituales de ordenadores. Ganaban miles de dólares al mes defraudando a anunciantes estadounidenses y europeos, totalmente fuera del radar, sin que nadie se diera cuenta. Se trataba, según los investigadores, de un modelo de negocio innovador para una red de bots de Internet de las Cosas.

Como dice Peterson, «se trataba de un delito totalmente nuevo ante el que la industria estaba ciega. Todos nos lo perdimos».

Incluso mientras el caso en Alaska y Nueva Jersey concluye -los tres acusados se enfrentarán a la sentencia más adelante- la plaga de Mirai que Jha, White y Dalton desataron continúa en línea. «Esta saga en particular ha terminado, pero Mirai sigue vivo», dice Paine de Cloudflare. «Hay un riesgo significativo en curso que ha continuado, ya que el código de fuente abierta ha sido reutilizado por nuevos actores. Todas estas nuevas versiones actualizadas siguen ahí fuera».

Hace dos semanas, a principios de diciembre, apareció en línea una nueva red de bots IoT que utilizaba aspectos del código de Mirai.

Conocido como Satori, el botnet infectó un cuarto de millón de dispositivos en sus primeras 12 horas.

Garrett M. Graff (@vermontgmg) es editor colaborador de WIRED. Se le puede localizar en [email protected].

Este artículo se ha actualizado para reflejar que Mirai atacó a una empresa de alojamiento llamada Nuclear Fallout Enterprises, no a un juego llamado Nuclear Fallout.

Hacks masivos

• Cómo una vulnerabilidad en las tarjetas de las llaves de los hoteles de todo el mundo dio a un ladrón la oportunidad de su vida.

• La extraña confluencia de revelaciones que llevó al descubrimiento de las vulnerabilidades Meltdown y Spectre.

• Y para quien quiera repasar su léxico de hacker, un breve resumen de «sinkholing».