How a Dorm Room Minecraft Scam Brought Down the Internet

Mitä Anna-senpai ei tajunnut, kun hän dumppasi lähdekoodin, oli se, että FBI oli jo työskennellyt tarpeeksi digitaalisten renkaiden läpi osoittaakseen Jha:ta todennäköisenä epäiltynä, ja se oli tehnyt sen epätodennäköiseltä istuimelta: Anchoragesta, Alaskasta.

Se, että yksi vuoden 2016 suurista internet-tarinoista päätyisi viime perjantaina Anchoragen oikeussaliin – apulaissyyttäjä Adam Alexanderin johdattamana syyllisyystunnustukseen vajaa vuosi alkuperäisen rikoksen jälkeen, mikä on huomattavan nopea tahti tietoverkkorikoksissa – oli itsessään merkkihetki, joka merkitsi tärkeää kypsymistä FBI:n kansallisessa lähestymistavassa tietoverkkorikoksiin.

Vielä äskettäin lähes kaikki FBI:n merkittävät kyberrikossyytteet tulivat vain muutamasta toimistosta, kuten Washingtonista, New Yorkista, Pittsburghista ja Atlantasta. Nyt kuitenkin yhä useammat toimistot ovat saamassa kehittyneisyyttä ja ymmärrystä, jotta ne voivat koota yhteen aikaa vieviä ja teknisesti monimutkaisia internet-tapauksia.

Peterson on FBI:n kuuluisimman kyberryhmän veteraani, Pittsburghissa toimivan uraauurtavan ryhmän, joka on koonnut uraauurtavia tapauksia, kuten tapauksen, joka kohdistui viiteen kiinalaiseen PLA:n hakkeriin. Kyseisessä ryhmässä Peterson – energinen, kovaotteinen, tietojenkäsittelytieteen pääaineopiskelija ja merijalkaväen adjutantti, joka kävi kaksi kertaa Irakissa ennen liittymistään FBI:n palvelukseen ja toimii nyt FBI:n Alaskan SWAT-tiimissä – auttoi johtamaan GameOver Zeus -bottiverkon tutkintaa, joka kohdistui venäläiseen hakkeriin Jevgeni Bogatševiin, joka on edelleen vapaalla jalalla, ja hänen kiinniottamisestaan on luvassa 3 miljoonan dollarin palkkio.

Usein FBI:n agentit päätyvät uransa edetessä vetäytymään pois keskeisiltä erikoisaloiltaan; syyskuun 11. päivän jälkeisinä vuosina yksi FBl:n muutamasta tusinasta arabiankielisestä agentista päätyi johtamaan valkoisen ylivallan kannattajia tutkivaa ryhmää. Peterson pysyi kuitenkin keskittyneenä kyberjuttuihin, vaikka hän siirtyi lähes kaksi vuotta sitten takaisin kotiosavaltioonsa Alaskaan, jossa hän liittyi FBI:n pienimpään kyberyksikköön – vain neljä agenttia, joita valvoo Walton, pitkäaikainen venäläisen vastavakoilun agentti, ja hänen kumppaninaan on Klein, entinen UNIX-järjestelmien ylläpitäjä.

Pieni tiimi on kuitenkin noussut merkittävään asemaan maan kyberturvallisuustaisteluissa, sillä se on erikoistunut DDoS-iskuihin ja bottiverkkoihin. Aiemmin tänä vuonna Anchoragen ryhmä oli keskeisessä asemassa Espanjassa huhtikuussa pidätetyn hakkerin Peter Jurjevitš Levashovin eli ”Pohjoisen Pietarin” johtaman Kelihos-bottiverkon tuhoamisessa.

FBI:n Anchoragen kenttätoimiston johtava erikoisagentti Marlin Ritzman sanoo, että tämä johtuu osittain siitä, että Alaskan maantieteellinen sijainti tekee palvelunestohyökkäyksistä erityisen henkilökohtaisia.

”Alaska on ainutlaatuisessa asemassa internet-palveluidensa kanssa – monet maaseutuyhteisöt ovat riippuvaisia internetistä, kun ne haluavat tavoittaa ulkomaailman”, Ritzman sanoo. ”Palvelunestohyökkäys voi katkaista kokonaisten yhteisöjen tietoliikenneyhteydet täällä, eikä kyse ole vain yhdestä tai toisesta yrityksestä. On tärkeää, että hyökkäämme tätä uhkaa vastaan.”

Mirai-tapauksen kokoaminen oli hidasta puuhaa Anchoragen nelihenkiselle yksikölle, vaikka he tekivät tiivistä yhteistyötä kymmenien yritysten ja yksityisen sektorin tutkijoiden kanssa kootakseen yhteen maailmanlaajuisen kuvan ennennäkemättömästä uhasta.

Ennen kuin he pystyivät ratkaisemaan kansainvälisen tapauksen, FBI:n ryhmän oli ensin – ottaen huomioon liittovaltion tuomioistuinten ja oikeusministeriön hajautetun työskentelytavan – todistettava, että Mirai oli olemassa heidän omalla lainkäyttöalueellaan, Alaskassa.

Rikostapauksen perusteiden luomiseksi ryhmä paikallisti huolella tartunnan saaneita IoT-laitteita, joilla oli IP-osoitteet eri puolilla Alaskaa, ja lähetti sitten osavaltion tärkeimmälle teleyhtiölle, GCI:lle, haasteen, jotta se voisi liittää mukaan nimen ja fyysisen sijainnin. Tämän jälkeen agentit kiersivät osavaltiota haastatellakseen laitteiden omistajia ja varmistaakseen, etteivät he olleet antaneet lupaa siihen, että Mirai-haittaohjelma kaappasi heidän IoT-ostoksensa.

Jotkut tartunnan saaneista laitteista sijaitsivat lähellä Anchoragea, toiset kauempana; Alaskan syrjäisen sijainnin vuoksi joidenkin laitteiden kerääminen vaati lentomatkoja maaseutuyhteisöihin. Eräässä maaseudulla sijaitsevassa yleishyödyllisessä laitoksessa, joka tarjosi myös internet-palveluja, agentit löysivät innokkaan verkkoinsinöörin, joka auttoi vaarantuneiden laitteiden jäljittämisessä.

Tartunnan saaneiden laitteiden takavarikoimisen ja kuljettamisen jälkeen FBI:n kenttätoimistoon – matalaan rakennukseen, joka sijaitsi vain muutaman korttelin päässä veden äärellä Alaskan väkirikkaimmassa kaupungissa – agentit joutuivat vastoin intuitiota kytkemään ne takaisin. Koska Mirai-haittaohjelma on vain flash-muistissa, se poistui aina, kun laite sammutettiin tai käynnistettiin uudelleen. Agenttien oli odotettava, että Mirai tartuttaisi laitteen uudelleen; onneksi bottiverkko oli niin tarttuva ja levisi niin nopeasti, että laitteiden uudelleen tartuttaminen ei kestänyt kauaa.

Sen jälkeen työryhmä jäljitti bottiverkon yhteydet takaisin Mirain pääohjauspalvelimelle. Sitten he pystyivät oikeuden määräyksillä aseistautuneina jäljittämään niihin liittyvät sähköpostiosoitteet ja kännykkänumerot, joita käytettiin kyseisillä tileillä, ja selvittämään ja yhdistämään nimet laatikoihin.

”Siinä oli paljon Kevin Baconin kuutta astetta”, Walton kertoo. ”Me vain jatkoimme ketjua alaspäin.”

Jossain vaiheessa tapaus jumiutui, koska Mirai-tekijät olivat perustaneet Ranskaan niin sanotun popped boxin, vaarannetun laitteen, jota he käyttivät VPN-solmuna internetistä poistumiseen ja peittivät siten Mirain tekijöiden todellisen sijainnin ja käyttämät fyysiset tietokoneet.

Kiinni kävi ilmi, että Mirai-tekijät olivat kaapanneet japanilaisesta animen tekemisestä kiinnostuneen ranskalaispojan tietokoneen. Koska Mirai oli vuotaneen chatin mukaan nimetty vuonna 2011 julkaistun animesarjan, Mirai Nikki, mukaan ja koska kirjoittajan salanimi oli Anna-Senpai, ranskalaispoika oli heti epäilty.

”Profiili sopi yhteen jonkun kanssa, jonka olisimme odottaneet osallistuvan Mirain kehittämiseen”, Walton sanoo. ”OVH-yhteyden vuoksi FBI teki koko tapauksen ajan tiivistä yhteistyötä Ranskan viranomaisten kanssa, jotka olivat läsnä, kun osa kotietsintäluvista tehtiin.”

Toimijat olivat hyvin kehittyneitä verkkoturvansa suhteen”, Peterson sanoo. ”Olen kohdannut todella kovia tyyppejä, ja nämä tyypit olivat yhtä hyviä tai parempia kuin jotkut itäeurooppalaiset ryhmät, joita vastaan olen taistellut.”

Lisäksi monimutkaisuutta lisää se, että DDoS-iskut itsessään ovat tunnetusti vaikeasti todistettavia rikoksia – jo pelkkä rikoksen todistaminen voi olla jälkikäteen poikkeuksellisen haastavaa. ”DDoS voi tapahtua tyhjiössä, ellei yritys kaappaa lokitietoja oikealla tavalla”, Peterson sanoo. Klein, entinen UNIX-ylläpitäjä, joka varttui leikkimällä Linuxilla, käytti viikkoja todisteiden kokoamiseen ja tietojen uudelleenkokoamiseen osoittaakseen, miten DDoS-hyökkäykset etenivät.

Hyökkäyksen kohteena olleiden laitteiden verkkoliikennetiedot oli rekonstruoitava huolellisesti ja tutkittava, miten Mirai-koodi laukaisi niin sanottuja paketteja kohteensa kimppuun – tämä on vain vähän ymmärretty rikostekninen prosessi, josta käytetään nimitystä PCAP-tiedon analysointi (pakettien kaappaus). Ajattele sitä digitaalisena vastineena sormenjälkien tai ampumahaavan jäänteiden testaamiselle. ”Se oli monimutkaisin DDoS-ohjelmisto, johon olen törmännyt”, Klein sanoo.

FBI sai epäillyt kiinni vuoden loppuun mennessä: Kuvat kolmesta roikkuivat kuukausien ajan Anchoragen kenttätoimiston seinällä, jossa agentit kutsuivat heitä ”partiopoikalaumaksi”, mikä oli viittaus heidän nuorekkuuteensa. (Toinen vanhempi naispuolinen epäilty eräässä toisiinsa liittymättömässä jutussa, jonka kuva myös roikkui taululla, sai lempinimen ”Den Mother”.)

Turvatoimittaja Brian Krebs, Mirai:n varhainen uhri, osoitti julkisesti Jha:ta ja Whitea tammikuussa 2017. Jhan perhe kiisti aluksi osallisuutensa, mutta perjantaina hän, White ja Norman tunnustivat kaikki syyllisyytensä salaliittoon Computer Fraud and Abuse Act -lain (tietokonepetos- ja väärinkäytöslaki) rikkomiseksi, joka on hallituksen tärkein tietoverkkorikollisuutta koskeva rikossyyte. Tunnustukset paljastettiin keskiviikkona, ja niistä ilmoitti oikeusministeriön tietokonerikosyksikkö Washingtonissa.

Jhaa syytettiin myös – ja hän tunnusti syyllisyytensä – oudoista DDoS-hyökkäyksistä, jotka olivat häirinneet Rutgersin kampuksen tietokoneverkkoja kahden vuoden ajan. Jhan ensimmäisenä opiskeluvuotena Rutgersin kampuksella alkoi tapahtua kymmenkunta DDoS-hyökkäystä, jotka häiritsivät verkkoja ja jotka ajoittuivat kaikki välikokeisiin. Tuolloin eräs nimeltä mainitsematon henkilö verkossa painosti yliopistoa hankkimaan parempia DDoS-palveluja – mikä, kuten kävi ilmi, oli juuri sitä liiketoimintaa, jota Jha itse yritti rakentaa.

Trentonin oikeussalissa keskiviikkona Jha – yllään konservatiivinen puku ja vanhasta LinkedIn-kuvauksestaan tutut tummansankaiset silmälasit – kertoi oikeudelle, että hän kohdisti hyökkäykset omalle kampukselleen silloin, kun ne häiritsisivät eniten – erityisesti välikokeiden ja loppukokeiden aikana sekä silloin, kun opiskelijat yrittivät ilmoittautua tunneille.

”Itse asiassa ajoitit hyökkäyksesi, koska halusit ylikuormittaa keskitetyn tunnistautumispalvelimen silloin, kun se olisi tuhoisin Rutgersille, eikö niin?” liittovaltion syyttäjä tiedusteli.

”Kyllä”, Jha sanoi.

Se, että kolme tietokoneen oppinutta päätyi rakentamaan paremman DDoS-hiirenloukun, ei välttämättä ole yllättävää; se oli heille intensiivisen älyllisen mielenkiinnon kohde. Verkkoprofiiliensa mukaan Jha ja White olivat itse asiassa työskennelleet yhdessä DDoS-vahinkojen torjuntafirman rakentamiseksi; kuukausi ennen Mirain ilmestymistä Jhan sähköpostisignaatiossa kuvattiin häntä ”President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

Oikeusasiakirjojen mukaan jokaisella ryhmän jäsenellä oli Mirain rakentamisessa oma roolinsa. Jha kirjoitti suuren osan alkuperäisestä koodista ja toimi pääasiallisena online-yhteyspisteenä hakkerifoorumeilla käyttäen Anna-senpai-nimimerkkiä.

White, joka käytti online-nimimerkkejä Lightspeed ja thegenius, johti suurta osaa bottiverkon infrastruktuurista ja suunnitteli tehokkaan internet-skannerin, joka auttoi tunnistamaan potentiaaliset laitteet, jotka haluttiin saastuttaa. Skannerin nopeus ja tehokkuus olivat avainasemassa siinä, että Mirai pystyi viime syksynä kilpailemaan muiden bottiverkkojen, kuten vDOS:n, kanssa; Mirain huipulla The Atlantic -lehden kokeilussa todettiin, että julkaisun verkossa luoma tekaistu IoT-laite oli vaarantunut tunnissa.

Oikeusasiakirjojen mukaan Dalton Norman – jonka rooli Mirai-bottiverkossa ei ollut tiedossa, ennen kuin syytesopimukset paljastettiin – työskenteli niin sanottujen nollapäivän hyväksikäyttötapausten yksilöimiseksi, jotka tekivät Miraista niin tehokkaan. Tuomioistuinasiakirjojen mukaan hän tunnisti ja toteutti neljä tällaista laitevalmistajille tuntematonta haavoittuvuutta osana Mirain käyttökoodia, ja sitten Mirain kasvaessa hän työskenteli koodin mukauttamiseksi niin, että sillä pystyttiin pyörittämään huomattavasti tehokkaampaa verkkoa kuin mitä he olivat koskaan kuvitelleet.

Jha kiinnostui teknologiasta jo varhain; sittemmin poistetun LinkedIn-sivunsa mukaan hän kuvaili itseään ”erittäin oma-aloitteiseksi” ja kertoi alkaneensa opettaa itselleen ohjelmointia seitsemännellä luokalla. Hänen kiinnostuksensa tieteeseen ja teknologiaan vaihteli laajasti: Seuraavana vuonna hän voitti toisen palkinnon New Jerseyn Fanwoodissa sijaitsevan Park Middle Schoolin kahdeksannen luokan tiedemessuilla insinöörityöhönsä, jossa hän tutki maanjäristysten vaikutusta siltoihin. Vuoteen 2016 mennessä hän luetteli hallitsevansa ”C#:n, Javan, Golangin, C:n, C++:n, PHP:n, x86 ASM:n, puhumattakaan web-”selainkielistä” kuten Javascriptistä ja HTML/CSS:stä”. (Krebsille yksi varhainen vihje siitä, että Jha oli todennäköisesti mukana Miraissa, oli se, että Anna-Senpai-nimimerkillä esiintynyt henkilö oli listannut osaamisensa sanomalla: ”Olen hyvin perehtynyt ohjelmointiin useilla eri kielillä, mukaan lukien ASM, C, Go, Java, C# ja PHP.”)

Tämä ei ole ensimmäinen kerta, kun teini-ikäiset ja korkeakouluopiskelijat ovat paljastaneet internetin keskeisiä heikkouksia: Ensimmäisen suuren tietokonemadon päästi valloilleen marraskuussa 1988 Robert Morris, silloinen Cornellin opiskelija, ja ensimmäinen suuri tunkeutuminen Pentagonin tietokoneverkkoihin – Solar Sunrise -nimellä tunnettu tapaus – tapahtui kymmenen vuotta myöhemmin, vuonna 1998; sen takana oli kaksi kalifornialaista teini-ikäistä yhdessä israelilaisen aikalaisensa kanssa. Itse DDoS-palvelun käynnisti vuonna 2000 quebeciläinen teini-ikäinen Michael Calce, joka käytti verkossa nimimerkkiä Mafiaboy. Helmikuun 7. päivänä 2000 Calce käänsi yliopistoverkoista kokoamansa zombitietokoneiden verkon Yahoota vastaan, joka oli tuolloin internetin suurin hakukone. Aamupäivään mennessä se oli lähes lamauttanut teknologiajätin ja hidastanut sivuston toiminnan, ja seuraavina päivinä Calce otti kohteekseen muita huippusivustoja, kuten Amazonin, CNN:n, eBayn ja ZDNetin.

Keskiviikkona järjestetyssä puhelinkonferenssissa, jossa ilmoitettiin syyllisyydestä, oikeusministeriön vt. apulaisvaltakunnansyyttäjän sijainen, apulaisvaltakunnansyyttäjän apulaispäällikkö Richard Downing, sanoi, että Mirain tapaus korostaa niiden nuorten tietokoneidenkäyttäjien vaarallisuutta, jotka eksyttävät tiensä verkkoon, ja sanoi, että oikeusministeriö suunnittelee laajentavansa nuorisoa tukevia toimiaan.

”Olen todellakin saanut itseni tuntemaan itseni hyvin vanhaksi ja kyvyttömäksi pysyä perässä”, syyttäjä Adam Alexander vitsaili keskiviikkona.

Tutkijat yllättyivät kuitenkin siitä, että kun he saivat Jhan, Whiten ja Normanin tähtäimiinsä, he huomasivat, että Mirain luojat olivat jo keksineet uuden käyttötarkoituksen tehokkaalle bottiverkolleen: He olivat luopuneet DDoS-hyökkäyksistä ja vaihtaneet ne johonkin vähemmän tunnettuun, mutta myös tuottoisaan.

He käyttivät bottiverkkoaan monimutkaiseen klikkaushuijausjärjestelmään, jossa he ohjasivat noin 100 000 vaarantunutta IoT-laitetta, enimmäkseen kotireitittimiä ja -modeemeja, vierailemaan mainoslinkkeihin ja saivat ne näyttämään tavallisilta tietokoneen käyttäjiltä. He ansaitsivat tuhansia dollareita kuukaudessa huijaamalla yhdysvaltalaisia ja eurooppalaisia mainostajia täysin huomaamatta, eikä kukaan tiennyt asiasta. Tutkijoiden mukaan kyseessä oli IoT-bottiverkon uraauurtava liiketoimintamalli.

Kuten Peterson sanoo: ”Tässä oli täysin uusi rikos, jolle teollisuus oli sokea. Meiltä kaikilta jäi se huomaamatta.”

Jopa nyt, kun Alaskan ja New Jerseyn jutut on saatu päätökseen – kolme syytettyä saa tuomionsa myöhemmin – Jhan, Whiten ja Daltonin vapauttama Mirai-rutto jatkuu verkossa. ”Tämä saaga on ohi, mutta Mirai elää yhä”, Cloudflaren Paine sanoo. ”Merkittävä riski on jatkunut, sillä uudet toimijat ovat käyttäneet avoimen lähdekoodin uudelleen. Kaikki nämä uudet päivitetyt versiot ovat edelleen olemassa.”

Kaksi viikkoa sitten, joulukuun alussa, verkkoon ilmestyi uusi IoT-bottiverkko, joka käytti osia Mirain koodista.

Botverkko tunnetaan nimellä Satori, ja se saastutti neljännesmiljoona laitetta ensimmäisten 12 tunnin aikana.

Garrett M. Graff (@vermontgmg) on WIREDin toimittaja. Hänet tavoittaa osoitteesta [email protected].

Tämä artikkeli on päivitetty vastaamaan sitä, että Mirai iski Nuclear Fallout Enterprises -nimiseen hosting-yhtiöön, ei Nuclear Fallout -nimiseen peliin.

Massiiviset hakkerit

• Kuinka haavoittuvuus hotellien hotellien avainkorteissa eri puolilla maailmaa antoi yhdelle murtovarkaalle elämänsä tilaisuuden.

• Meltdown- ja Spectre-haavoittuvuuksien löytymiseen johtaneiden paljastusten outo yhteensattuma.

• Ja niille, jotka haluavat päivittää hakkerisanastoaan, lyhyt yhteenveto ”sinkholingista”.