寮の Minecraft 詐欺がインターネットをダウンさせた方法

ソースコードを破棄したときに Anna-senpai が知らなかったのは、FBI がすでに Jha を容疑者として挙げるのに十分なデジタルループを通っていたことと、それを思いもよらないところから行ったことです。 2016 年の大きなインターネット ストーリーの 1 つが、先週の金曜日、アンカレッジの裁判所で幕を閉じ、アダム・アレキサンダー米国弁護士助手に導かれて、最初の犯罪からわずか 1 年で有罪答弁に至ったことは、サイバー犯罪に対する FBI の国家的アプローチにおける重要な成熟を示すものであり、その瞬間そのものでした。

最近まで、FBI の主要なサイバー犯罪の起訴は、ワシントン、ニューヨーク、ピッツバーグ、アトランタなど、ごく少数の事務所で行われていました。 しかし現在では、時間がかかり技術的に複雑なインターネット事件をまとめるための洗練された理解を得る事務所が増えています。

ピーターソンは、FBIで最も有名なサイバーチーム、すなわちピッツバーグの先駆的なチームのベテランで、中国のPLAハッカー5人に対して行った事件のように、画期的な事件をまとめています。 そのため、このような弊順の弊順は、弊順の弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の嶄で弊順の吭龍を吭龍するものである。

FBI の捜査官は、キャリアを積むにつれて、本来の専門分野から遠ざかってしまうことがよくあります。 この小さなチームは、しかし、DDoS 攻撃とボットネットを専門とし、国内のサイバーセキュリティの戦いにおいて非常に大きな役割を果たすようになりました。 今年初め、アンカレッジのチームは、4月にスペインで逮捕されたハッカー、Peter Yuryevich Levashov、別名「北のピーター」が運営する長期的なKelihosボットネットの破壊に貢献しました。

FBIのアンカレッジ支局の特別捜査官であるMarlin Ritzman氏は、アラスカの地理的条件から、サービス拒否攻撃は特に個人的なものであると述べています。 このような状況下において、「SkyDesk」は、「SkyDesk」と「SkyDesk」と「SkyDesk」を統合することで、「SkyDesk」を「SkyDesk」と「SkyDesk」に置き換えることができます。 その脅威を攻撃することが重要なのです」

Mirai のケースをまとめることは、4 人のエージェントからなるアンカレッジのチームにとって、前例のない脅威のグローバルな描写をまとめるために、何十もの企業や民間部門の研究者と密接に協力しながら、ゆっくりと進むものでした。

国際的な事件を解決する前に、連邦裁判所と司法省が分散して機能していることから、FBI のチームはまず、自分たちの特定の管轄区域であるアラスカに Mirai が存在することを証明しなければなりませんでした。

刑事事件の根拠を示すために、チームは、アラスカ全域の IP アドレスが付いた感染 IoT デバイスを慎重に特定し、州の主要通信会社 GCI に召喚状を出して名前と物理位置を添付しました。 その後、捜査官は州内をくまなく回り、デバイスの所有者にインタビューを行い、購入した IoT が Mirai マルウェアにハイジャックされることを許可していないことを確認しました。

アンカレッジの近くにある感染デバイスもありましたが、さらに離れた場所にあるデバイスもありました。 インターネット サービスも提供しているある地方の公共施設では、捜査官が熱心なネットワーク エンジニアを見つけ、感染したデバイスの追跡を手伝ってくれました。

感染したデバイスを押収し、FBI フィールド オフィス (アラスカで最も人口の多い都市の海からわずか数ブロックの低層ビル) に搬送した後、直感に反して、捜査官はそれらを再びプラグインする必要が生じました。 Miraiのマルウェアはフラッシュメモリ内にしか存在しないため、デバイスの電源を切ったり再起動したりするたびに削除されます。 エージェントは、デバイスが Mirai に再感染するのを待つ必要がありました。幸運なことに、ボットネットは非常に感染力が強く、急速に広がったため、デバイスが再感染するのにそれほど時間はかかりませんでした。 そして、裁判所命令を武器に、これらのアカウントに使用された関連する電子メールアドレスや携帯電話番号を追跡し、ボックスと名前を関連付けることができました。

「6度のケビン・ベーコンがたくさんありました」と、Walton は説明します。 「これは、インターネットからの VPN ノードとして使用し、Mirai の作成者が使用する実際の場所と物理的なコンピュータを隠蔽します。

結果として、彼らは日本のアニメに興味を持つフランスの子供が所有するコンピュータをハイジャックしました。 流出したチャットによると、Miraiは2011年のアニメシリーズ「未来日記」から命名され、作者のペンネームがAnna-Senpaiだったことから、このフランスの少年はすぐに容疑者とされたのです。

「プロファイルは、Miraiの開発に関与していると思われる人物と一致していました」とWalton氏は言います。OVHとの関連から、FBIは事件を通じてフランス当局と緊密に連携し、一部の捜査令状が執行された際には、フランス当局も同席していました」

「犯人はオンラインセキュリティにおいて非常に洗練されていました」と、Peterson氏は語っています。 「私はこれまで本当に手強い相手と戦ってきましたが、彼らは私がこれまで戦ってきた東ヨーロッパのチームと同等かそれ以上でした」

さらに複雑なのは、DDoS 自体が悪名高く立証の難しい犯罪であり、犯罪が起こったことを単に証明することさえ、事後的には非常に困難である場合があります。 「DDoS は、企業が適切な方法でログを取得しない限り、真空中で発生する可能性があります」と Peterson 氏は言います。 Linux で育った元 UNIX 管理者の Klein 氏は、DDoS 攻撃がどのように展開したかを示すために、数週間かけて証拠をつなぎ合わせ、データを再構築しました。

不正アクセスしたデバイスでは、ネットワーク トラフィック データを慎重に再構築し、Mirai コードがターゲットに対していわゆる「パケット」を起動する方法を研究しなければなりませんでした。 これは、PCAP（パケットキャプチャ）データの分析として知られる、あまり知られていないフォレンジックプロセスです。これは、指紋や銃弾の残りを検査するのと同じだと考えてください。 「これは、私が遭遇した中で最も複雑な DDoS ソフトウェアでした」と Klein 氏は述べています。 この3人の写真は、アンカレッジ支局の壁に何カ月も飾られ、捜査官は彼らの若さを称して「カブスカウト・パック」と名付けました。 (関連性のない事件の別の年配の女性容疑者の写真も掲示板に飾られ、「デン・マザー」とあだ名されました)

セキュリティ・ジャーナリストの Brian Krebs、初期の Mirai 被害者は、2017 年 1 月に Jha と White を公然と指弾しました。 Jhaの家族は当初、彼の関与を否定していましたが、金曜日に彼とWhite、Normanの3人が、サイバー犯罪に対する政府の主な刑事責任であるComputer Fraud and Abuse Actに違反する謀議について有罪を認めました。 3338>

Jha は、2 年間にわたりラトガース大学のコンピューター ネットワークを混乱させた一連の奇妙な DDoS 攻撃でも告発され、有罪を認めました。 Jha が在籍していた最初の年から、ラトガース大学では、最終的に 12 回もの DDoS 攻撃に悩まされ始め、すべて中間試験の時期に合わせてネットワークを混乱させました。 その頃、ネット上の無名の個人が、より良いDDoS緩和サービスを購入するよう大学に働きかけました。

水曜日のトレントン法廷で、Jhaは保守的なスーツに、古いLinkedInポートレートでおなじみの黒縁メガネをかけて、自分のキャンパスで最も混乱するときに攻撃を狙ったと法廷で語りました-特に中間、期末、学生が授業の登録をしようとしているときです。

「実際、あなたは、Rutgers にとって最も破壊的となるときに、中央認証サーバーをオーバーロードさせたいので、攻撃のタイミングを計ったのですね」と連邦検察官が質問しました。 オンライン プロフィールによると、Jha と White は実際に DDoS 軽減会社を設立するために一緒に働いていました。Mirai が登場する前の月、Jha の電子メール署名には「ProTraf Solutions, LLC, Enterprise DDoS Mitigation 社長」と記されていました。 Jha 氏はオリジナルのコードの多くを書き、Anna-senpai というニックネームでハッキング フォーラムの主要なオンライン連絡先として機能しました。

Lightspeed、thegenius というニックネームを使用した White 氏は、ボットネット インフラの多くを運営し、感染する潜在的デバイスを識別するための強力なインターネット スキャンヤを設計しています。 Mirai のピーク時には、The Atlantic の実験により、同誌がオンラインで作成した偽の IoT デバイスが 1 時間以内に感染したことがわかりました。

法廷文書によれば、Dalton Norman は、司法取引が公開されるまで Mirai ボットネットでの役割は不明でしたが、いわゆるゼロデイ悪用の特定に取り組み、その結果 Mirai は非常に強力になりました。 法廷文書によると、彼は、デバイス メーカーが知らない 4 つの脆弱性を特定し、Mirai のオペレーティング コードの一部として実装しました。現在削除されている LinkedIn ページによると、彼は自分自身を「非常に自発的」と表現し、7 年生のときにプログラミングを独学で始めたと説明しています。 彼の科学技術への興味は多岐にわたった。 翌年には、ニュージャージー州ファンウッドにあるパーク中学校の8年生科学フェアで、地震が橋に与える影響を研究した工学プロジェクトで2位を獲得している。 2016年には、「C#、Java、Golang、C、C++、PHP、x86 ASMはもちろん、JavascriptやHTML/CSSなどのWeb「ブラウザ言語」にも精通している」と記載されている。 (Jha が Mirai に関与している可能性が高いという Krebs の初期の手がかりは、Anna-Senpai と名乗る人物が、「私は、ASM、C、Go、Java、C#、PHP など、さまざまな言語でのプログラミングに非常に精通しています」と、自分のスキルを挙げていたことです。)

10 代や大学生がインターネットにおける主要な弱点を暴露したことは、これが初めてのことではありません。 最初の大規模なコンピューター ワームは、1988 年 11 月、当時コーネル大学の学生であった Robert Morris によって放たれ、国防総省のコンピューター ネットワークへの最初の大規模な侵入 (Solar Sunrise として知られる事件) は、10 年後の 1998 年に、カリフォルニア州の 2 人の若者とイスラエル人の共同作業により起こりました。 DDoS自体は、2000年にケベック州の若者、Michael Calceが引き起こしたもので、彼はMafiaboyというニックネームでネット上で活動していました。 2000年2月7日、カルスは大学のネットワークから集めたゾンビコンピュータのネットワークを、当時ウェブ最大の検索エンジンであったヤフーにぶつけました。 午前中までに、この巨大なハイテク企業はほとんど機能しなくなり、サイトは這うように遅くなり、その後数日間、Calce は Amazon、CNN、eBay、ZDNet といった他のトップ Web サイトをターゲットにしました。

司法省副司法長官代理 Richard Downing は、水曜日に有罪判決を発表した電話会議で、ミライ事件はオンラインで道を見失う若いコンピュータユーザーの危険性を強調し、司法省は若者への奉仕活動を展開する予定だと述べました。

「私は確かに、とても年をとっていて、ついていけないように感じさせられました」と、Adam Alexander 検察官は水曜日に冗談を言いました。

しかしながら、捜査官を本当に驚かせたのは、Jha、White、および Norman を捕まえると、Mirai の作成者がすでにその強力なボットネットに新しい使用法を発見していたことが分かったことです。 3338>

彼らはボットネットを使用して、精巧なクリック詐欺のスキームを実行していました。これは、主に家庭用ルーターやモデムなど、約10万台の危険にさらされたIoTデバイスに指示して、彼らが通常のコンピューター ユーザーであるように見せて、広告リンクを一斉に訪問させるものです。 彼らは、米国やヨーロッパの広告主から毎月数千ドルを詐取していましたが、レーダーには全く引っかからず、誰にも気づかれることはありませんでした。 調査官が知る限り、これは IoT ボットネットの画期的なビジネス モデルでした。

Peterson が言うように、「ここに、業界が見過ごしていたまったく新しい犯罪がありました。 アラスカとニュージャージーでの訴訟が終了し、3人の被告が後で判決を受けることになっても、Jha、White、および Dalton が放った Mirai ペストはオンラインで継続されています。 「この事件は終わったが、Miraiはまだ生きている」とCloudflareのPaine氏は言う。 「オープンソースのコードが新しいアクターによって再利用されているため、重大なリスクが継続しています。 これらの新しい更新されたバージョンはすべて、まだそこにあります」

2週間前、12月の初めに、Miraiのコードの側面を使用した新しいIoTボットネットがオンラインに登場しました。

「Satori」として知られるこのボットネットは、最初の12時間で25万台のデバイスに感染しました。

ギャレット M. グラフ (@vermontgmg) は WIRED の寄稿編集者です。 [email protected].

This article has been updated to reflect that Mirai struck a hosting company called Nuclear Fallout Enterprises, not a game called Nuclear Fallout.

Massive Hacks

• How a vulnerability in hotel key card across the world gave one burglar a lifetime opportunity of a chance of the future.

• メルトダウンとスペクターの脆弱性を発見することになった、奇妙な合流点。

• そして、ハッカー辞書を磨きたい人のために、「シンコーリング」について簡単にまとめています。