Come una truffa Minecraft nella stanza del dormitorio ha portato giù Internet

Quello che Anna-senpai non ha capito quando ha scaricato il codice sorgente è che l’FBI aveva già lavorato attraverso abbastanza cerchi digitali per indicare Jha come un probabile sospetto, e lo aveva fatto da un trespolo improbabile: Anchorage, Alaska.

Il fatto che una delle grandi storie di internet del 2016 sarebbe finita in un’aula di tribunale di Anchorage venerdì scorso – guidata dall’assistente procuratore degli Stati Uniti Adam Alexander ad una dichiarazione di colpevolezza appena un anno dopo il reato originale, un ritmo notevolmente rapido per i crimini informatici – è stato un momento di segnale stesso, segnando un’importante maturazione nell’approccio nazionale dell’FBI ai crimini informatici.

Fino a poco tempo fa, quasi tutte le principali azioni penali dell’FBI contro i crimini informatici venivano da una manciata di uffici come Washington, New York, Pittsburgh e Atlanta. Ora, però, un numero crescente di uffici sta guadagnando la sofisticazione e la comprensione per mettere insieme casi internet tecnicamente complessi e che richiedono tempo.

Peterson è un veterano del più famoso cyber team dell’FBI, una squadra pionieristica a Pittsburgh che ha messo insieme casi innovativi, come quello contro cinque hacker cinesi PLA. In quella squadra, Peterson – un energico, energico, laureato in informatica al college e aiutante del Corpo dei Marines, che è stato schierato due volte in Iraq prima di entrare nel bureau, e ora serve nella squadra SWAT dell’FBI in Alaska – ha aiutato a condurre l’indagine sulla botnet GameOver Zeus che ha preso di mira l’hacker russo Evgeny Bogachev, che rimane in libertà con una ricompensa di 3 milioni di dollari per la sua cattura.

Spesso, gli agenti dell’FBI finiscono per essere allontanati dalle loro specialità principali quando la loro carriera avanza; negli anni dopo l’11 settembre, una delle poche dozzine di agenti di lingua araba del bureau finì per dirigere una squadra che indagava sui suprematisti bianchi. Ma Peterson è rimasto concentrato sui casi informatici anche quando si è trasferito quasi due anni fa nel suo stato natale, l’Alaska, dove si è unito alla più piccola squadra informatica dell’FBI – solo quattro agenti, supervisionati da Walton, un agente di controspionaggio russo di lunga data, e in collaborazione con Klein, un ex amministratore di sistemi UNIX.

La piccola squadra, però, è arrivata ad assumere un ruolo importante nelle battaglie di cybersecurity del paese, specializzata in attacchi DDoS e botnet. All’inizio di quest’anno, la squadra di Anchorage è stata determinante nel take-down del botnet Kelihos di lunga data, gestito da Peter Yuryevich Levashov, alias “Peter del Nord”, un hacker arrestato in Spagna in aprile.

In parte, dice Marlin Ritzman, l’agente speciale incaricato dell’ufficio dell’FBI di Anchorage, questo è perché la geografia dell’Alaska rende gli attacchi denial-of-service particolarmente personali.

“L’Alaska è in una posizione unica con i nostri servizi Internet – molte comunità rurali dipendono da Internet per raggiungere il mondo esterno”, dice Ritzman. “Un attacco denial-of-service potrebbe chiudere le comunicazioni a intere comunità quassù, non è solo un’azienda o un’altra. E’ importante per noi attaccare questa minaccia.”

Mettere insieme il caso Mirai è stato lento per i quattro agenti della squadra di Anchorage, anche se hanno lavorato a stretto contatto con decine di aziende e ricercatori del settore privato per mettere insieme un ritratto globale di una minaccia senza precedenti.

Prima di poter risolvere un caso internazionale, la squadra dell’FBI – dato il modo decentralizzato in cui lavorano i tribunali federali e il Dipartimento di Giustizia – ha dovuto dimostrare che Mirai esisteva nella loro particolare giurisdizione, l’Alaska.

Per stabilire le basi di un caso penale, la squadra ha accuratamente individuato i dispositivi IoT infetti con indirizzi IP in tutta l’Alaska, poi ha emesso mandati di comparizione alla principale società di telecomunicazioni dello stato, GCI, per allegare un nome e una posizione fisica. Gli agenti hanno poi attraversato lo stato per intervistare i proprietari dei dispositivi e stabilire che non avevano dato il permesso ai loro acquisti IoT di essere dirottati dal malware Mirai.

Mentre alcuni dispositivi infetti erano vicini ad Anchorage, altri erano più lontani; data la lontananza dell’Alaska, raccogliere alcuni dispositivi ha richiesto viaggi in aereo verso le comunità rurali. In un servizio pubblico rurale che forniva anche servizi internet, gli agenti hanno trovato un ingegnere di rete entusiasta che ha aiutato a rintracciare i dispositivi compromessi.

Dopo aver sequestrato i dispositivi infetti e averli trasportati alla sede dell’FBI – un edificio basso a pochi isolati dall’acqua nella città più popolosa dell’Alaska – gli agenti, controintuitivamente, hanno dovuto ricollegarli. Poiché il malware Mirai esiste solo nella memoria flash, veniva cancellato ogni volta che il dispositivo veniva spento o riavviato. Gli agenti dovevano aspettare che il dispositivo fosse reinfettato da Mirai; fortunatamente, la botnet era così contagiosa e si diffondeva così rapidamente che non ci volle molto perché i dispositivi fossero reinfettati.

Da lì, il team ha lavorato per tracciare le connessioni della botnet fino al server principale di controllo Mirai. Poi, armati di ordini del tribunale, sono stati in grado di rintracciare gli indirizzi e-mail associati e i numeri di telefono cellulare utilizzati per quegli account, stabilendo e collegando i nomi alle caselle.

“È stato un sacco di sei gradi di Kevin Bacon”, spiega Walton. “A un certo punto, il caso si è impantanato perché gli autori di Mirai avevano stabilito in Francia una cosiddetta popped box, un dispositivo compromesso che hanno usato come nodo VPN di uscita da Internet, nascondendo così la posizione reale e i computer fisici utilizzati dai creatori di Mirai.

Come si è scoperto, avevano dirottato un computer che apparteneva a un ragazzo francese interessato agli anime giapponesi. Dato che Mirai, secondo una chat trapelata, aveva preso il nome da una serie di anime del 2011, Mirai Nikki, e che lo pseudonimo dell’autore era Anna-Senpai, il ragazzo francese era un sospetto immediato.

“Il profilo corrispondeva a qualcuno che ci aspettavamo fosse coinvolto nello sviluppo di Mirai”, dice Walton; durante tutto il caso, data la connessione OVH, l’FBI ha lavorato a stretto contatto con le autorità francesi, che erano presenti quando alcuni dei mandati di perquisizione sono stati condotti.

“Gli attori erano molto sofisticati nella loro sicurezza online”, dice Peterson. “Ho corso contro alcuni ragazzi davvero difficili, e questi ragazzi erano altrettanto bravi o migliori di alcune delle squadre dell’Europa orientale contro cui sono andato.”

Aggiungendo alla complessità, il DDoS stesso è un crimine notoriamente difficile da dimostrare – anche semplicemente dimostrare che il crimine è avvenuto può essere straordinariamente impegnativo dopo il fatto. “DDoS può accadere nel vuoto, a meno che una società catturi i log nel modo giusto”, dice Peterson. Klein, un ex amministratore UNIX che è cresciuto giocando con Linux, ha trascorso settimane a mettere insieme le prove e riassemblare i dati per mostrare come si sono svolti gli attacchi DDoS.

Sui dispositivi compromessi, hanno dovuto ricostruire attentamente i dati del traffico di rete, e studiare come il codice Mirai ha lanciato i cosiddetti “pacchetti” contro i suoi obiettivi – un processo forense poco compreso, noto come analisi dei dati PCAP (packet capture). Pensatelo come l’equivalente digitale del test delle impronte digitali o dei residui di polvere da sparo. “Era il software DDoS più complesso che ho incontrato”, dice Klein.

L’FBI ha individuato i sospetti entro la fine dell’anno: Le foto dei tre sono state appese per mesi al muro dell’ufficio di Anchorage, dove gli agenti li hanno soprannominati “Cub Scout Pack”, un cenno alla loro giovinezza. (Un’altra donna più anziana sospettata in un caso non correlato, la cui foto era anche appesa alla lavagna, è stata soprannominata “Den Mother.”)

Il giornalista di sicurezza Brian Krebs, una prima vittima di Mirai, ha pubblicamente indicato Jha e White nel gennaio 2017. La famiglia di Jha ha inizialmente negato il suo coinvolgimento, ma venerdì lui, White e Norman si sono dichiarati colpevoli di cospirazione per violare il Computer Fraud and Abuse Act, la principale accusa penale del governo per il crimine informatico. Le suppliche sono state rese pubbliche mercoledì, e annunciate dall’unità crimini informatici del Dipartimento di Giustizia a Washington, DC.

Jha è stato anche accusato di – e si è dichiarato colpevole di – una bizzarra serie di attacchi DDoS che hanno interrotto le reti di computer del campus Rutgers per due anni. A partire dal primo anno in cui Jha era uno studente, la Rutgers ha iniziato a soffrire di quelli che alla fine sarebbero stati una dozzina di attacchi DDoS che hanno interrotto le reti, tutti programmati per gli esami di metà corso. A quel tempo, un individuo senza nome online ha spinto l’università ad acquistare migliori servizi di mitigazione DDoS – che, come si è scoperto, era esattamente il business che Jha stesso stava cercando di costruire.

In un’aula di tribunale di Trenton mercoledì, Jha – indossando un abito conservatore e gli occhiali con la montatura scura familiare dal suo vecchio ritratto su LinkedIn – ha detto alla corte che ha puntato gli attacchi contro il suo campus quando sarebbero stati più distruttivi – in particolare durante gli esami di metà corso, gli esami finali, e quando gli studenti stavano cercando di registrarsi per le lezioni.

“Infatti, hai cronometrato i tuoi attacchi perché volevi sovraccaricare il server centrale di autenticazione quando sarebbe stato più devastante per Rutgers, giusto?” ha chiesto il procuratore federale.

“Sì,” ha detto Jha.

Infatti, che i tre esperti di computer hanno finito per costruire una migliore trappola per topi DDoS non è necessariamente sorprendente; era un settore di intenso interesse intellettuale per loro. Secondo i loro profili online, Jha e White avevano effettivamente lavorato insieme per costruire una società di mitigazione DDoS; il mese prima che Mirai apparisse, la firma e-mail di Jha lo descriveva come “Presidente, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

Come parte della costruzione di Mirai, ogni membro del gruppo aveva il proprio ruolo, secondo i documenti del tribunale. Jha ha scritto gran parte del codice originale e servito come il principale punto di contatto online sui forum di hacking, utilizzando il moniker Anna-senpai.

White, che ha usato i moniker online Lightspeed e thegenius, ha gestito gran parte dell’infrastruttura botnet, progettando il potente scanner internet che ha aiutato a identificare i dispositivi potenziali da infettare. La velocità e l’efficacia dello scanner è stato un fattore chiave dietro la capacità di Mirai di superare altre botnet come vDOS lo scorso autunno; al culmine di Mirai, un esperimento di The Atlantic ha scoperto che un falso dispositivo IoT che la pubblicazione ha creato online è stato compromesso entro un’ora.

Secondo i documenti del tribunale, Dalton Norman – il cui ruolo nella botnet Mirai era sconosciuto fino a quando i patteggiamenti sono stati resi pubblici – ha lavorato per identificare i cosiddetti exploit zero-day che hanno reso Mirai così potente. Secondo i documenti del tribunale, ha identificato e implementato quattro vulnerabilità sconosciute ai produttori di dispositivi come parte del codice operativo di Mirai, e poi, come Mirai è cresciuto, ha lavorato per adattare il codice per eseguire una rete molto più potente di quanto avessero mai immaginato.

Jha è arrivato presto al suo interesse per la tecnologia; secondo la sua pagina LinkedIn ora cancellata, si è descritto come “altamente motivato” e ha spiegato che ha iniziato a insegnare a se stesso la programmazione in seconda media. Il suo interesse per la scienza e la tecnologia ha spaziato molto: L’anno successivo, ha vinto il secondo premio nella fiera scientifica di terza media alla Park Middle School di Fanwood, New Jersey, per il suo progetto di ingegneria che studiava l’impatto dei terremoti sui ponti. Nel 2016, si è elencato come competente in “C#, Java, Golang, C, C++, PHP, x86 ASM, per non parlare dei ‘linguaggi browser’ web come Javascript e HTML/CSS”. (Un primo indizio per Krebs che Jha era probabilmente coinvolto in Mirai era che la persona che si faceva chiamare Anna-Senpai aveva elencato le sue competenze dicendo: “Ho molta familiarità con la programmazione in una varietà di linguaggi, tra cui ASM, C, Go, Java, C#, e PHP.)

Questa non è la prima volta che adolescenti e studenti universitari hanno esposto le debolezze chiave in Internet: Il primo grande worm informatico è stato scatenato nel novembre 1988 da Robert Morris, allora studente alla Cornell, e la prima grande intrusione nelle reti informatiche del Pentagono – un caso noto come Solar Sunrise – è avvenuta un decennio dopo, nel 1998; è stata opera di due adolescenti californiani in concerto con un contemporaneo israeliano. DDoS stesso è emerso nel 2000, scatenato da un adolescente del Quebec, Michael Calce, che è andato online con il moniker Mafiaboy. Il 7 febbraio 2000, Calce ha rivolto una rete di computer zombie che aveva assemblato dalle reti universitarie contro Yahoo, allora il più grande motore di ricerca del web. A metà mattina aveva paralizzato il gigante tecnologico, rallentando il sito a un passo, e nei giorni successivi, Calce ha preso di mira altri siti web come Amazon, CNN, eBay e ZDNet.

In una conferenza telefonica che ha annunciato le ammissioni di colpevolezza mercoledì, il vice procuratore generale del Dipartimento di Giustizia Richard Downing ha detto che il caso Mirai ha sottolineato i pericoli dei giovani utenti di computer che perdono la loro strada online – e ha detto che il Dipartimento di Giustizia ha pianificato di espandere i suoi sforzi di sensibilizzazione dei giovani.

“Sono stato certamente fatto sentire molto vecchio e incapace di tenere il passo”, il procuratore Adam Alexander ha scherzato mercoledì.

Quello che ha veramente sorpreso gli investigatori, però, è stato che una volta che hanno avuto Jha, White e Norman nel loro mirino, hanno scoperto che i creatori di Mirai avevano già trovato un nuovo uso per la loro potente botnet: Avevano abbandonato gli attacchi DDoS per qualcosa di più basso profilo, ma anche redditizio.

Stavano usando la loro botnet per eseguire un elaborato schema di frode con i clic: dirigendo circa 100.000 dispositivi IoT compromessi, per lo più router e modem domestici, per visitare in massa i link pubblicitari, facendo sembrare che fossero utenti regolari del computer. Stavano facendo migliaia di dollari al mese defraudando gli inserzionisti statunitensi ed europei, completamente fuori dal radar, senza che nessuno se ne accorgesse. Era, per quanto gli investigatori potessero dire, un modello di business innovativo per una botnet IoT.

Come dice Peterson, “Qui c’era un crimine completamente nuovo a cui l’industria era cieca.

Anche se il caso in Alaska e New Jersey si conclude – i tre imputati affronteranno la sentenza più tardi – la piaga Mirai che Jha, White e Dalton hanno scatenato continua online. “Questa particolare saga è finita, ma Mirai vive ancora”, dice Paine di Cloudflare. “C’è un rischio significativo in corso che è continuato, poiché il codice open source è stato riproposto da nuovi attori. Tutte queste nuove versioni aggiornate sono ancora là fuori”

Due settimane fa, all’inizio di dicembre, una nuova botnet IoT è apparsa online utilizzando aspetti del codice di Mirai.

Conosciuta come Satori, la botnet ha infettato un quarto di milione di dispositivi nelle sue prime 12 ore.

Garrett M. Graff (@vermontgmg) è un contributing editor di WIRED. Può essere raggiunto all’indirizzo [email protected].

Questo articolo è stato aggiornato per riflettere che Mirai ha colpito una società di hosting chiamata Nuclear Fallout Enterprises, non un gioco chiamato Nuclear Fallout.

Massive Hacks

• Come una vulnerabilità nelle carte chiave degli hotel in tutto il mondo ha dato a un ladro l’opportunità di una vita.

• La bizzarra confluenza di rivelazioni che ha portato alla scoperta delle vulnerabilità Meltdown e Spectre.

• E per chiunque voglia rispolverare il proprio lessico hacker, un breve riassunto del “sinkholing.”