How a Dorm Room Minecraft Scam Brought Down the Internet

Amit Anna-senpai nem vett észre, amikor kidobta a forráskódot, az az volt, hogy az FBI már elég digitális karikán dolgozott át ahhoz, hogy Jha-ra mint valószínű gyanúsítottra mutasson, és ezt egy valószínűtlen helyről tette:

Az, hogy 2016 egyik nagy internetes története múlt pénteken egy anchorage-i tárgyalóteremben kötött ki – Adam Alexander helyettes amerikai ügyész vezetésével alig egy évvel az eredeti bűncselekmény elkövetése után bűnösnek vallotta magát, ami a kiberbűnözéshez képest figyelemre méltóan gyors ütemben történik -, önmagában is jelzésértékű pillanat volt, amely fontos érést jelentett az FBI kiberbűnözéssel kapcsolatos nemzeti megközelítésében.

A közelmúltig az FBI szinte valamennyi jelentős kiberbűncselekmény elleni vádemelését csak egy maroknyi hivatalból, például Washingtonból, New Yorkból, Pittsburghből és Atlantából folytatták le. Mostanra azonban egyre több irodában nő a kifinomultság és a megértés ahhoz, hogy az időigényes és technikailag összetett internetes ügyeket összeállítsák.

Peterson az FBI leghíresebb kibercsapatának veteránja, a pittsburghi úttörő osztagé, amely olyan úttörő ügyeket állított össze, mint például az öt kínai PLA-hacker elleni ügy. Ebben a csoportban Peterson – egy energikus, keményen dolgozó, főiskolai informatikus és tengerészgyalogsági adjutáns, aki kétszer is bevetésre ment Irakba, mielőtt az irodához csatlakozott, és most az FBI alaszkai SWAT csapatában szolgál – segített vezetni a GameOver Zeus botnet ügyében folytatott nyomozást, amelynek célpontja Evgeny Bogachev orosz hacker volt, aki továbbra is szabadlábon van, és akinek elfogásáért 3 millió dollár jutalom jár.

Gyakran előfordul, hogy az FBI-ügynökök a karrierjük előrehaladtával eltávolodnak a fő szakterületüktől; a 9/11 utáni években az iroda néhány tucat arabul beszélő ügynöke közül az egyik végül egy fehér fajgyűlölők után nyomozó osztagot vezetett. Peterson azonban továbbra is a kiberügyekre összpontosított, még akkor is, amikor közel két évvel ezelőtt áthelyezték hazájába, Alaszkába, ahol csatlakozott az FBI legkisebb kiberosztagához – mindössze négy ügynökhöz, akiket Walton, egy régi orosz kémelhárító ügynök felügyel, és Klein, egy korábbi UNIX rendszergazda partnere.

A kis csapat azonban mára már jelentős szerepet tölt be az ország kiberbiztonsági harcaiban, a DDoS-támadásokra és botnetekre specializálódva. Az év elején az anchorage-i osztagnak nagy szerepe volt a hosszú ideje működő Kelihos botnet felszámolásában, amelyet Peter Jurjevics Levashov, más néven “Peter of the North”, egy áprilisban Spanyolországban letartóztatott hacker működtetett.

Ez részben azért van így – mondja Marlin Ritzman, az FBI Anchorage-i területi irodájának különleges ügynöke -, mert Alaszka földrajzi elhelyezkedése miatt a szolgáltatásmegtagadási támadások különösen személyesek.

“Alaszka egyedülálló helyzetben van az internetszolgáltatásainkkal – sok vidéki közösség függ az internettől, hogy elérje a külvilágot” – mondja Ritzman. “Egy szolgáltatásmegtagadási támadás egész közösségek kommunikációját leállíthatja, nem csak egy-egy vállalkozásról van szó. Fontos számunkra, hogy megtámadjuk ezt a fenyegetést.”

A Mirai-ügy összerakása lassan haladt a négy ügynökből álló anchorage-i osztag számára, még akkor is, amikor több tucat vállalattal és a magánszektor kutatóival szorosan együttműködve egy példátlan fenyegetés globális portréját állították össze.

A nemzetközi ügy megoldása előtt az FBI-osztagnak először – tekintettel a szövetségi bíróságok és az Igazságügyi Minisztérium decentralizált munkamódszerére – be kellett bizonyítania, hogy a Mirai létezett a saját joghatóságukban, Alaszkában.

A büntetőeljárás megalapozásához az osztag aprólékosan felkutatta a fertőzött IoT-eszközöket IP-címekkel szerte Alaszkában, majd idézést küldött az állam fő távközlési vállalatának, a GCI-nek, hogy csatolja a nevet és a fizikai helyet. Az ügynökök ezután bejárták az államot, hogy kikérdezzék az eszközök tulajdonosait, és megállapítsák, hogy nem adtak engedélyt arra, hogy IoT-vásárlásaikat a Mirai malware eltérítse.

Míg egyes fertőzött eszközök a közelben, Anchorage-ban voltak, mások távolabb; Alaszka távoli fekvése miatt néhány eszköz begyűjtéséhez repülővel kellett utazni a vidéki településekre. Az egyik vidéki közműszolgáltatónál, amely internetszolgáltatást is nyújtott, az ügynökök találtak egy lelkes hálózati mérnököt, aki segített a fertőzött eszközök felkutatásában.

A fertőzött eszközök lefoglalása és az FBI terepi irodájába szállítása után – egy alacsony épületbe, mindössze néhány háztömbnyire a víztől Alaszka legnépesebb városában – az ügynököknek, ellentmondásos módon, vissza kellett csatlakoztatniuk őket. Mivel a Mirai malware csak a flashmemóriában létezik, minden alkalommal törlődött, amikor a készüléket kikapcsolták vagy újraindították. Az ügynököknek meg kellett várniuk, hogy az eszközt újra megfertőzze a Mirai; szerencsére a botnet annyira fertőző volt, és olyan gyorsan terjedt, hogy nem tartott sokáig, amíg az eszközök újra megfertőződtek.

A csapat innen kezdve azon dolgozott, hogy a botnet kapcsolatait visszavezesse a Mirai fő vezérlő szerveréig. Ezután bírósági végzésekkel felfegyverkezve képesek voltak lenyomozni az ezekhez a fiókokhoz használt kapcsolódó e-mail címeket és mobiltelefonszámokat, létrehozva és összekapcsolva a neveket a dobozokkal.

“Sok volt a Kevin Bacon hat fokozata” – magyarázza Walton. “Egyre lejjebb léptünk a láncban.”

Egy ponton az ügy megakadt, mert a Mirai szerzői Franciaországban létrehoztak egy úgynevezett popped boxot, egy kompromittált eszközt, amelyet VPN-csomópontként használtak az internetről való kilépéshez, így álcázva a Mirai alkotói által használt tényleges helyet és fizikai számítógépeket.

Kiderült, hogy egy japán anime iránt érdeklődő francia gyerek számítógépét rabolták el. Tekintettel arra, hogy a Mirai egy kiszivárgott chat szerint egy 2011-es anime-sorozatról, a Mirai Nikkiről kapta a nevét, és hogy a szerző álneve Anna-Senpai volt, a francia fiú azonnal gyanúsított volt.

“A profil egyezett valakivel, akiről feltételeztük, hogy részt vesz a Mirai fejlesztésében” – mondja Walton; az ügy során az OVH-kapcsolat miatt az FBI szorosan együttműködött a francia hatóságokkal, akik jelen voltak a házkutatási parancsok egy részének végrehajtásakor.

“A szereplők nagyon kifinomult online biztonsággal rendelkeztek” – mondja Peterson. “Volt már dolgom néhány nagyon kemény fickóval, és ezek a fickók ugyanolyan jók vagy jobbak voltak, mint néhány kelet-európai csapat, amelyekkel eddig szemben álltam.”

A bonyolultságot tovább fokozza, hogy magát a DDoS-t köztudottan nehéz bizonyítani – még a bűncselekmény megtörténtének egyszerű bizonyítása is rendkívüli kihívást jelenthet utólag. “A DDoS vákuumban is megtörténhet, hacsak a vállalat nem rögzíti a naplókat a megfelelő módon” – mondja Peterson. Klein, egy korábbi UNIX-adminisztrátor, aki Linuxon nőtt fel, heteket töltött a bizonyítékok összerakásával és az adatok újra összerakásával, hogy megmutassa, hogyan zajlottak a DDoS-támadások.

A kompromittált eszközökön gondosan rekonstruálni kellett a hálózati forgalmi adatokat, és tanulmányozni, hogy a Mirai kód hogyan indított úgynevezett “csomagokat” a célpontjai ellen – ez egy kevéssé ismert törvényszéki eljárás, amelyet PCAP (packet capture) adatok elemzésének neveznek. Gondoljon erre úgy, mint az ujjlenyomatok vagy lőpornyomok vizsgálatának digitális megfelelőjére. “Ez volt a legösszetettebb DDoS szoftver, amivel valaha találkoztam” – mondja Klein.

Az FBI az év végére lenullázta a gyanúsítottakat: A háromról készült fényképek hónapokig lógtak az anchorage-i iroda falán, ahol az ügynökök “cserkészcsapatnak” nevezték el őket, ezzel is utalva fiatalságukra. (Egy másik idősebb női gyanúsítottat, akinek a fotója szintén ott lógott a táblán, “Den Mother”-nek becéztek.)

Brian Krebs biztonsági újságíró, a Mirai egyik korai áldozata 2017 januárjában nyilvánosan ujjal mutogatott Jha-ra és White-ra. Jha családja kezdetben tagadta a részvételét, de pénteken ő, White és Norman mindannyian bűnösnek vallották magukat a számítógépes csalás és visszaélés elleni összeesküvésben, ami a kormány fő büntetőjogi vádpontja a kiberbűnözés esetében. A vádakat szerdán hozták nyilvánosságra, és az Igazságügyi Minisztérium számítógépes bűncselekményekkel foglalkozó részlege jelentette be Washingtonban.

Jha-t egy bizarr DDoS-támadássorozattal is megvádolták – és bűnösnek vallotta magát -, amely két éven keresztül megzavarta a Rutgers kampusz számítógépes hálózatait. Az első évben, amikor Jha ott tanult, a Rutgers kezdett szenvedni a hálózatokat megzavaró, végül tucatnyi DDoS-támadástól, amelyek mind a vizsgák közepére időzítettek. Akkoriban egy meg nem nevezett személy az interneten arra sürgette az egyetemet, hogy vásároljon jobb DDoS-csökkentő szolgáltatásokat – mint kiderült, ez pontosan az az üzlet volt, amelyet maga Jha is megpróbált kiépíteni.

A trentoni bírósági teremben szerdán Jha – konzervatív öltönyben és a régi LinkedIn-portréjáról ismert sötét keretes szemüvegben – azt mondta a bíróságnak, hogy a támadásokat a saját egyeteme ellen irányította, amikor azok a leginkább zavaróak voltak – különösen a félévközi vizsgák, a vizsgák idején, és amikor a diákok megpróbáltak beiratkozni az órákra.

“Valójában azért időzítette a támadásait, mert akkor akarta túlterhelni a központi hitelesítési szervert, amikor az a legpusztítóbb lenne a Rutgers számára, igaz?” – kérdezte a szövetségi ügyész.

“Igen” – mondta Jha.

Az, hogy a három számítógépes tudós végül egy jobb DDoS egérfogó megépítésében kötött ki, nem feltétlenül meglepő; ez a terület intenzív szellemi érdeklődés tárgya volt számukra. Online profiljuk szerint Jha és White valójában együtt dolgoztak egy DDoS-csökkentő cég létrehozásán; a Mirai megjelenése előtti hónapban Jha e-mail aláírása szerint “President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

A Mirai építésében a bírósági dokumentumok szerint a csoport minden tagjának megvolt a maga szerepe. Jha írta az eredeti kód nagy részét, és ő volt a fő online kapcsolattartó a hackerfórumokon, az Anna-senpai becenevet használva.

White, aki a Lightspeed és a thegenius online beceneveket használta, a botnet infrastruktúrájának nagy részét irányította, ő tervezte a nagy teljesítményű internetes szkennert, amely segített azonosítani a potenciálisan megfertőzhető eszközöket. A szkenner gyorsasága és hatékonysága kulcsfontosságú szerepet játszott abban, hogy a Mirai tavaly ősszel képes volt megelőzni más botneteket, például a vDOS-t. A Mirai csúcspontján a The Atlantic által végzett kísérlet szerint a kiadvány által online létrehozott hamis IoT-eszköz egy órán belül megfertőződött.

A bírósági dokumentumok szerint Dalton Norman – akinek a Mirai botnetben betöltött szerepe a vádalku feloldásáig ismeretlen volt – dolgozott az úgynevezett nulladik napi kihasználások azonosításán, amelyek a Mirait olyan erőssé tették. A bírósági dokumentumok szerint négy ilyen, az eszközgyártók számára ismeretlen sebezhetőséget azonosított és implementált a Mirai operációs kódjának részeként, majd ahogy a Mirai növekedett, azon dolgozott, hogy a kódot úgy alakítsa át, hogy egy sokkal erősebb hálózatot futtasson, mint azt valaha is elképzelték.

Jha korán felfedezte érdeklődését a technológia iránt; az időközben törölt LinkedIn-oldala szerint “rendkívül önmotiváltnak” írta le magát, és kifejtette, hogy hetedik osztályban kezdte tanítani magát programozni. A tudomány és a technológia iránti érdeklődése széles skálán mozgott: A következő évben második díjat nyert a nyolcadik osztályosok tudományos vásárán a New Jersey állambeli Fanwoodban található Park Middle Schoolban a földrengések hidakra gyakorolt hatását vizsgáló mérnöki projektjével. 2016-ban már “C#, Java, Golang, C, C, C++, PHP, x86 ASM, nem is beszélve az olyan webes “böngészőnyelvekről”, mint a Javascript és a HTML/CSS”. (Az egyik korai támpont Krebs számára, hogy Jha valószínűleg részt vett a Miraiban, az volt, hogy a magát Anna-Senpai-nak nevező személy a következő szavakkal sorolta fel a készségeit: “Nagyon jól ismerem a programozást különböző nyelveken, köztük ASM, C, Go, Java, C# és PHP.”)

Nem ez az első eset, hogy tizenévesek és egyetemisták kulcsfontosságú gyenge pontokat fednek fel az interneten: Az első nagyobb számítógépes férget 1988 novemberében Robert Morris, a Cornell akkori diákja szabadította el, és az első nagyobb behatolás a Pentagon számítógépes hálózataiba – a Solar Sunrise néven ismert eset – egy évtizeddel később, 1998-ban történt; ez két kaliforniai tinédzser műve volt, egy izraeli kortársukkal közösen. Maga a DDoS 2000-ben jelent meg, egy québeci tinédzser, Michael Calce által, aki a Mafiaboy becenév alatt jelent meg az interneten. 2000. február 7-én Calce az egyetemi hálózatokból összeállított zombi számítógépek hálózatát a Yahoo ellen fordította, amely akkoriban a világháló legnagyobb keresőmotorja volt. A délelőtti órákra szinte teljesen megbénította a technológiai óriáscéget, az oldal lassulását okozva, és a következő napokban Calce más vezető weboldalakat is célba vett, mint például az Amazon, a CNN, az eBay és a ZDNet.

A bűnösséget bejelentő szerdai konferenciahíváson Richard Downing, az Igazságügyi Minisztérium megbízott helyettes főügyészhelyettese elmondta, hogy a Mirai-ügy aláhúzta a fiatal számítógép-felhasználók veszélyeit, akik eltévednek az interneten, és elmondta, hogy az Igazságügyi Minisztérium a fiatalok felkarolására irányuló erőfeszítéseinek kiterjesztését tervezi.

“Minden bizonnyal nagyon öregnek éreztem magam, és képtelen voltam lépést tartani” – viccelődött szerdán Adam Alexander ügyész.

A nyomozókat azonban az lepte meg igazán, hogy miután célkeresztjükbe került Jha, White és Norman, felfedezték, hogy a Mirai alkotói már új felhasználási módot találtak a nagy teljesítményű botnetjüknek:

A botnetet arra használták, hogy egy bonyolult kattintásos csalást hajtsanak végre: mintegy 100 000 kompromittált IoT-eszközt – főként otthoni routereket és modemeket – arra irányítottak, hogy tömegesen látogassanak el reklámlinkekre, és azt a látszatot keltették, hogy azok rendszeres számítógép-felhasználók. Havonta több ezer dollárt kerestek az amerikai és európai hirdetők becsapásával, teljesen észrevétlenül, anélkül, hogy bárki okosabb lett volna. Amennyire a nyomozók meg tudták állapítani, ez egy IoT botnet úttörő üzleti modellje volt.

Ahogy Peterson mondja: “Itt egy teljesen új bűncselekmény volt, amelyre az iparág vak volt. Mindannyian lemaradtunk róla.”

Még akkor is, amikor az alaszkai és New Jersey-i ügy lezárul – a három vádlottat később ítélik el -, a Jha, White és Dalton által elszabadított Mirai-járvány online folytatódik. “Ez a bizonyos saga véget ért, de a Mirai még mindig él” – mondja Paine, a Cloudflare munkatársa. “Jelentős folyamatos kockázatot jelent, amely folytatódik, mivel a nyílt forráskódot új szereplők újrahasznosították. Ezek az új, frissített verziók még mindig odakint vannak.”

Két héttel ezelőtt, december elején egy új IoT botnet jelent meg az interneten, amely a Mirai kód egyes aspektusait használta.

A Satori néven ismert botnet az első 12 órában negyedmillió eszközt fertőzött meg.

Garrett M. Graff (@vermontgmg) a WIRED munkatársa. Elérhető a [email protected] címen.

Ezt a cikket frissítettük, hogy a Mirai a Nuclear Fallout Enterprises nevű tárhelyszolgáltató céget támadta meg, nem pedig a Nuclear Fallout nevű játékot.

Masszív hackek

• Hogyan a szállodai kulcskártyák sebezhetősége világszerte egy betörőnek életre szóló lehetőséget adott.

• A felfedezések bizarr egybeesése, amely a Meltdown és Spectre sebezhetőségek felfedezéséhez vezetett.

• És mindazok számára, akik fel akarják frissíteni a hacker lexikonjukat, egy rövid összefoglaló a “sinkholing”

.