Jak podvod s Minecraftem na koleji přivedl internet ke krachu

Když Anna-senpai zveřejnil zdrojový kód, neuvědomil si, že FBI už prošla dostatečným množstvím digitálních oblouků a označila Jha za pravděpodobného podezřelého, a to z nepravděpodobného místa:

To, že jeden z velkých internetových příběhů roku 2016 skončil minulý pátek v soudní síni v Anchorage – veden asistentem amerického prokurátora Adamem Alexanderem k přiznání viny sotva rok po původním trestném činu, což je na kybernetickou kriminalitu pozoruhodně rychlé tempo – bylo samo o sobě signifikantním okamžikem, který znamenal důležité dozrání národního přístupu FBI ke kybernetické kriminalitě.

Do nedávna téměř všechna významná stíhání kybernetické kriminality FBI vycházela jen z několika málo úřadů, jako jsou Washington, New York, Pittsburgh a Atlanta. Nyní však stále větší počet úřadů získává sofistikovanost a porozumění, aby dokázaly dát dohromady časově náročné a technicky složité internetové případy.

Peterson je veteránem nejslavnějšího kybernetického týmu FBI, průkopnického oddělení v Pittsburghu, které dalo dohromady průlomové případy, jako byl ten proti pěti hackerům čínské PLA. V tomto týmu Peterson – energický a energický vysokoškolský student informatiky a adjutant námořní pěchoty, který byl před nástupem k úřadu dvakrát nasazen v Iráku a nyní slouží v zásahové jednotce FBI na Aljašce – pomáhal vést vyšetřování botnetu GameOver Zeus, jehož cílem byl ruský hacker Jevgenij Bogačev, který je stále na svobodě a na jehož dopadení byla vypsána odměna 3 miliony dolarů.

Často se stává, že agenti FBI jsou s postupem kariéry odváděni od své hlavní specializace; v letech po 11. září skončil jeden z několika desítek arabsky mluvících agentů úřadu jako vedoucí jednotky vyšetřující bělošské supremacisty. Peterson však zůstal zaměřen na kybernetické případy, i když byl před téměř dvěma lety přeložen zpět do svého domovského státu Aljaška, kde se připojil k nejmenšímu kybernetickému oddělení FBI – pouhým čtyřem agentům, na které dohlížel Walton, dlouholetý agent ruské kontrarozvědky, a spolupracoval s Kleinem, bývalým systémovým administrátorem UNIXu.

Tento malý tým však začal hrát významnou roli v bojích o kybernetickou bezpečnost v zemi a specializuje se na útoky DDoS a botnety. Na začátku letošního roku se jednotka z Anchorage podílela na likvidaci dlouhodobě fungujícího botnetu Kelihos, který provozoval Petr Jurjevič Levašov, známý jako „Petr ze severu“, hacker zatčený v dubnu ve Španělsku.

Zčásti je to podle Marlina Ritzmana, zvláštního agenta pověřeného vedením polní kanceláře FBI v Anchorage, proto, že geografická poloha Aljašky činí útoky typu odepření služby obzvláště osobními.

„Aljaška má jedinečnou pozici, pokud jde o naše internetové služby – mnoho venkovských komunit je závislých na internetu, aby se dostaly do okolního světa,“ říká Ritzman. „Útok typu odepření služby by zde mohl přerušit komunikaci celých komunit, nejde jen o ten či onen podnik. Je pro nás důležité, abychom na tuto hrozbu zaútočili.“

Skládání případu Mirai šlo čtyřčlennému týmu z Anchorage pomalu, i když úzce spolupracovali s desítkami společností a výzkumníky ze soukromého sektoru, aby dali dohromady globální portrét bezprecedentní hrozby.

Než se jim podařilo vyřešit mezinárodní případ, muselo komando FBI nejprve – vzhledem k decentralizovanému způsobu práce federálních soudů a ministerstva spravedlnosti – prokázat, že Mirai existuje v jejich konkrétní jurisdikci, tedy na Aljašce.

Aby vytvořilo podklady pro trestní řízení, komando pečlivě lokalizovalo infikovaná zařízení internetu věcí s IP adresami po celé Aljašce a poté vydalo předvolání hlavní telekomunikační společnosti státu, GCI, aby připojila jméno a fyzickou polohu. Agenti pak křižovali stát, aby vyslechli majitele těchto zařízení a zjistili, že nedali svolení k tomu, aby jejich nákupy IoT unesl malware Mirai.

Některá infikovaná zařízení se nacházela poblíž Anchorage, jiná byla vzdálenější; vzhledem k odlehlosti Aljašky vyžadoval sběr některých zařízení cesty letadlem do venkovských obcí. V jednom venkovském veřejném podniku, který také poskytoval internetové služby, našli agenti nadšeného síťového inženýra, který pomohl vystopovat napadená zařízení.

Po zabavení infikovaných zařízení a jejich převozu do terénní kanceláře FBI – nízké budovy jen pár bloků od vody v nejlidnatějším aljašském městě – je pak agenti museli protimluvně zapojit zpět. Vzhledem k tomu, že malware Mirai existuje pouze v paměti flash, byl smazán pokaždé, když bylo zařízení vypnuto nebo restartováno. Agenti museli počkat, až bude zařízení znovu infikováno malwarem Mirai; naštěstí byl botnet tak nakažlivý a šířil se tak rychle, že netrvalo dlouho a zařízení byla znovu infikována.

Odtud tým pracoval na vysledování připojení botnetu zpět k hlavnímu řídicímu serveru Mirai. Poté, vyzbrojeni soudními příkazy, byli schopni vystopovat související e-mailové adresy a mobilní telefonní čísla používaná pro tyto účty, zjistit a propojit jména se schránkami.

„Bylo to hodně šest stupňů Kevina Bacona,“ vysvětluje Walton. „Prostě jsme ten řetězec postupně rozšiřovali.“

V jednu chvíli se případ zadrhl, protože autoři Mirai zřídili ve Francii takzvaný popped box, kompromitované zařízení, které používali jako výstupní uzel VPN z internetu, čímž maskovali skutečné umístění a fyzické počítače používané tvůrci Mirai.

Jak se ukázalo, zmocnili se počítače, který patřil francouzskému dítěti zajímajícímu se o japonské anime. Vzhledem k tomu, že Mirai byl podle uniklého chatu pojmenován podle anime seriálu Mirai Nikki z roku 2011 a že autorův pseudonym byl Anna-Senpai, byl francouzský chlapec okamžitě podezřelý.

„Profil odpovídal někomu, u koho bychom očekávali, že se bude podílet na vývoji Mirai,“ říká Walton; v průběhu celého případu FBI vzhledem ke spojení s OVH úzce spolupracovala s francouzskými úřady, které byly přítomny při provádění některých domovních prohlídek.

„Aktéři byli velmi sofistikovaně zabezpečeni online,“ říká Peterson. „Střetl jsem se s několika opravdu drsnými týpky a tito byli stejně dobří nebo lepší než některé týmy z východní Evropy, se kterými jsem se střetl.“

Ke složitosti přispívá i to, že samotný DDoS je notoricky obtížně prokazatelný trestný čin – dokonce i pouhé prokázání, že k trestnému činu vůbec došlo, může být po jeho spáchání mimořádně náročné. „K DDoS může dojít ve vzduchoprázdnu, pokud společnost nezachycuje logy správným způsobem,“ říká Peterson. Klein, bývalý správce systému UNIX, který vyrostl na hraní si s Linuxem, strávil týdny skládáním důkazů a sestavováním dat, aby ukázal, jak útoky DDoS probíhaly.

Na napadených zařízeních museli pečlivě rekonstruovat data o síťovém provozu a studovat, jak kód Mirai vypouštěl takzvané „pakety“ proti svým cílům – málo pochopený forenzní proces, známý jako analýza dat PCAP (packet capture). Představte si to jako digitální ekvivalent testování otisků prstů nebo stop po střelbě. „Byl to nejsložitější DDoS software, s jakým jsem se kdy setkal,“ říká Klein.

FBI se koncem roku zaměřila na podezřelé: Jejich fotografie visely několik měsíců na stěně terénní kanceláře v Anchorage, kde jim agenti přezdívali „skautská smečka“, což byla narážka na jejich mládí. (Další starší podezřelé ženě v nesouvisejícím případu, jejíž fotografie také visela na nástěnce, se přezdívalo „matka doupěte“)

Bezpečnostní novinář Brian Krebs, první oběť Mirai, v lednu 2017 veřejně označil Jha a Whitea. Jhova rodina původně jeho zapojení popírala, ale v pátek se on, White a Norman přiznali ke spiknutí za účelem porušení zákona o počítačových podvodech a zneužití počítačů, což je hlavní vládní obvinění z počítačové kriminality. Přiznání byla odtajněna ve středu a oznámilo je oddělení ministerstva spravedlnosti pro počítačovou kriminalitu ve Washingtonu.

Jha byl také obviněn – a přiznal vinu – z podivného souboru DDoS útoků, které po dva roky narušovaly počítačové sítě v kampusu Rutgers. Počínaje prvním rokem, kdy tam Jha studoval, začala Rutgers trpět útoky DDoS, které nakonec narušily sítě a které byly načasovány na pololetní zkoušky. V té době nejmenovaná osoba na internetu tlačila na univerzitu, aby nakoupila lepší služby pro zmírňování DDoS – což, jak se ukázalo, byl přesně ten byznys, který se snažil vybudovat sám Jha.

Ve středu v soudní síni v Trentonu Jha – v konzervativním obleku a s brýlemi s tmavými obroučkami známými z jeho starého portrétu na LinkedIn – soudu řekl, že útoky zaměřil proti vlastnímu kampusu, když by byly nejvíce rušivé – konkrétně během pololetí, závěrečných zkoušek a v době, kdy se studenti snažili zapsat na výuku.

„Ve skutečnosti jste své útoky načasoval, protože jste chtěl přetížit centrální autentizační server, když to bude pro Rutgers nejničivější, je to tak?“ ptal se federální prokurátor.

„Ano,“ řekl Jha.

To, že tři počítačoví mágové nakonec sestrojili lepší past na myši DDoS, není nutně překvapivé; byla to oblast jejich intenzivního intelektuálního zájmu. Podle jejich internetových profilů Jha a White skutečně společně pracovali na vybudování firmy zabývající se mitigací DDoS; měsíc předtím, než se Mirai objevil, byl Jha v e-mailovém podpisu popsán jako „prezident ProTraf Solutions, LLC, Enterprise DDoS Mitigation.“

V rámci budování Mirai měl podle soudních dokumentů každý člen skupiny svou vlastní roli. Jha napsal většinu původního kódu a sloužil jako hlavní online kontaktní osoba na hackerských fórech, kde používal přezdívku Anna-senpai.

White, který používal online přezdívky Lightspeed a thegenius, řídil velkou část infrastruktury botnetu a navrhl výkonný internetový skener, který pomáhal identifikovat potenciální zařízení k infikování. Rychlost a účinnost skeneru byla klíčovým faktorem, který stál za schopností Mirai překonat jiné botnety jako vDOS na podzim loňského roku; v době největšího rozmachu Mirai zjistil experiment časopisu The Atlantic, že falešné zařízení internetu věcí, které publikace vytvořila online, bylo kompromitováno během jedné hodiny.

Podle soudních dokumentů Dalton Norman – jehož role v botnetu Mirai byla až do odtajnění dohod o přiznání viny neznámá – pracoval na identifikaci takzvaných zero-day exploitů, díky nimž byl Mirai tak silný. Podle soudních dokumentů identifikoval a implementoval čtyři takové zranitelnosti, které výrobci zařízení neznali, jako součást operačního kódu Mirai, a poté, jak se Mirai rozrůstala, pracoval na úpravě kódu tak, aby mohl provozovat mnohem výkonnější síť, než si kdy dokázali představit.

Jha ke svému zájmu o technologie přišel brzy; podle své nyní smazané stránky na LinkedIn se popisoval jako „vysoce sebemotivovaný“ a vysvětloval, že se začal učit programovat v sedmé třídě. Jeho zájem o vědu a techniku byl velmi široký: V následujícím roce získal druhou cenu na vědeckém veletrhu osmé třídy Park Middle School ve Fanwoodu ve státě New Jersey za svůj inženýrský projekt, v němž zkoumal vliv zemětřesení na mosty. V roce 2016 se uvedl jako znalec „jazyků C#, Java, Golang, C, C++, PHP, x86 ASM, nemluvě o webových ‚prohlížečových jazycích‘, jako je Javascript a HTML/CSS“. (Jedním z prvních vodítek pro Krebse, že Jha je pravděpodobně zapojen do Mirai, bylo, že osoba, která si říkala Anna-Senpai, uvedla své dovednosti slovy: „Jsem velmi dobře obeznámen s programováním v různých jazycích, včetně ASM, C, Go, Java, C# a PHP.“

Není to poprvé, co teenageři a vysokoškolští studenti odhalili klíčové slabiny internetu: První velký počítačový červ byl vypuštěn v listopadu 1988 Robertem Morrisem, tehdy studentem Cornellu, a první velký průnik do počítačových sítí Pentagonu – případ známý jako Solar Sunrise – se odehrál o deset let později, v roce 1998; byl dílem dvou kalifornských teenagerů ve spolupráci s izraelským současníkem. Samotný DDoS se objevil v roce 2000, kdy ho rozpoutal quebecký teenager Michael Calce, který na internetu vystupoval pod přezdívkou Mafiaboy. Dne 7. února 2000 obrátil Calce síť zombie počítačů, kterou sestavil z univerzitních sítí, proti Yahoo, tehdy největšímu internetovému vyhledávači. V polovině dopoledne tohoto technologického giganta téměř ochromil a zpomalil jeho provoz.V následujících dnech se Calce zaměřil na další špičkové webové stránky jako Amazon, CNN, eBay a ZDNet.

Ve středečním konferenčním hovoru, na kterém bylo oznámeno přiznání viny, úřadující náměstek generálního prokurátora ministerstva spravedlnosti Richard Downing uvedl, že případ Mirai podtrhuje nebezpečí mladých uživatelů počítačů, kteří se ztratí na internetu, a že ministerstvo spravedlnosti plánuje rozšířit své úsilí v oblasti práce s mládeží.

„Rozhodně jsem si připadal velmi starý a neschopný držet krok,“ zažertoval ve středu státní zástupce Adam Alexander.

Co však vyšetřovatele skutečně překvapilo, bylo to, že jakmile měli Jha, Whitea a Normana na mušce, zjistili, že tvůrci Mirai už našli pro svůj výkonný botnet nové využití:

Používali svůj botnet k provozování propracovaného schématu klikacích podvodů – nasměrovali asi 100 000 kompromitovaných zařízení internetu věcí, většinou domácích routerů a modemů, k hromadnému navštěvování reklamních odkazů, aby to vypadalo, že jde o běžné uživatele počítačů. Měsíčně vydělávali tisíce dolarů podvody na amerických a evropských inzerentech, a to zcela mimo radar, aniž by se o tom kdokoli dozvěděl. Podle vyšetřovatelů šlo o převratný obchodní model botnetu internetu věcí.

Jak říká Peterson: „Byl tu zcela nový zločin, ke kterému byl průmysl slepý. Všem nám to uniklo.“

I když se případ na Aljašce a v New Jersey uzavírá – tři obžalovaní budou později odsouzeni – nákaza Mirai, kterou Jha, White a Dalton rozpoutali, pokračuje online. „Tato konkrétní sága je u konce, ale Mirai stále žije,“ říká Paine ze společnosti Cloudflare. „Stále přetrvává významné riziko, protože otevřený zdrojový kód byl znovu použit novými aktéry. Všechny tyto nové aktualizované verze jsou stále na světě.“

Před dvěma týdny, na začátku prosince, se na internetu objevil nový botnet IoT využívající aspekty kódu Mirai.

Botnet známý jako Satori během prvních 12 hodin infikoval čtvrt milionu zařízení.

Garrett M. Graff (@vermontgmg) je redaktorem časopisu WIRED. Kontaktovat ho můžete na adrese [email protected].

Tento článek byl aktualizován tak, aby odrážel skutečnost, že Mirai zasáhl hostingovou společnost Nuclear Fallout Enterprises, nikoli hru Nuclear Fallout.

Masivní hacky

• Jak zranitelnost v hotelových klíčových kartách po celém světě dala jednomu zloději životní příležitost.

• Bizarní souhra odhalení, která vedla k objevení zranitelností Meltdown a Spectre.

• A pro všechny, kdo si chtějí oprášit svůj hackerský slovník, stručné shrnutí pojmu „sinkholing“.

Podívejte se, co je to „sinkholing“.