How a Dorm Room Minecraft Scam Brought Down the Internet

Wat Anna-senpai zich niet realiseerde toen hij de broncode dumpte, was dat de FBI al door genoeg digitale hoepels had gewerkt om Jha aan te wijzen als waarschijnlijke verdachte, en dat had gedaan vanuit een onwaarschijnlijke positie: Anchorage, Alaska.

Dat een van de grote internetverhalen van 2016 afgelopen vrijdag in een rechtszaal in Anchorage zou eindigen-geleid door assistent-officier van justitie Adam Alexander naar een schuldig pleidooi nauwelijks een jaar na de oorspronkelijke overtreding, een opmerkelijk snel tempo voor cybermisdaden- was op zichzelf een signaalmoment, dat een belangrijke rijping markeert in de nationale aanpak van cybermisdaden door de FBI.

Tot voor kort kwamen bijna alle belangrijke cybermisdaadvervolgingen van de FBI uit slechts een handvol kantoren zoals Washington, New York, Pittsburgh en Atlanta. Nu echter krijgen steeds meer kantoren de verfijning en het inzicht om tijdrovende en technisch complexe internetzaken samen te voegen.

Peterson is een veteraan van het beroemdste cyberteam van de FBI, een pioniersteam in Pittsburgh dat baanbrekende zaken heeft gedaan, zoals die tegen vijf Chinese PLA-hackers. In dat team heeft Peterson – een energieke, hardwerkende student computerwetenschappen en adjudant bij het Korps Mariniers die twee keer naar Irak is uitgezonden voordat hij bij de FBI kwam en nu deel uitmaakt van het FBI Alaska SWAT-team – geholpen bij het onderzoek naar het GameOver Zeus-botnet dat gericht was tegen de Russische hacker Evgeny Bogachev, die nog steeds voortvluchtig is en voor wie een beloning van 3 miljoen dollar is uitgeloofd.

Vaak worden FBI-agenten naarmate hun carrière vordert, weggetrokken van hun kernspecialisme; in de jaren na 9/11 leidde een van de weinige Arabisch sprekende agenten van de FBI een eenheid die onderzoek deed naar blanke supremacisten. Maar Peterson bleef gefocust op cyberzaken, zelfs toen hij bijna twee jaar geleden terugging naar zijn thuisstaat Alaska, waar hij toetrad tot het kleinste cyberteam van de FBI – slechts vier agenten, onder toezicht van Walton, een oude Russische contraspionageagent, en samenwerkend met Klein, een voormalige UNIX-systeembeheerder.

Het kleine team is echter een buitenproportionele rol gaan spelen in de cyberbeveiligingsgevechten van het land, gespecialiseerd in DDoS-aanvallen en botnets. Eerder dit jaar was het Anchorage-team behulpzaam bij het neerhalen van het langlopende Kelihos-botnet, dat werd gerund door Peter Yuryevich Levashov, alias “Peter van het Noorden”, een hacker die in april in Spanje werd gearresteerd.

Deel, zegt Marlin Ritzman, de special-agent-in-charge van de FBI’s Anchorage Field Office, dat komt omdat Alaska’s geografie denial-of-service aanvallen bijzonder persoonlijk maakt.

“Alaska’s is uniek gepositioneerd met onze internetdiensten – veel landelijke gemeenschappen zijn afhankelijk van het internet om de buitenwereld te bereiken,” zegt Ritzman. “Een denial-of-service-aanval kan de communicatie voor hele gemeenschappen hier platleggen, het gaat niet alleen om een of ander bedrijf. Het is belangrijk voor ons om die dreiging aan te pakken.”

Het samenstellen van de Mirai-zaak verliep moeizaam voor het team van vier agenten uit Anchorage, zelfs terwijl ze nauw samenwerkten met tientallen bedrijven en onderzoekers uit de particuliere sector om een wereldwijd portret van een ongekende dreiging samen te stellen.

Voordat ze een internationale zaak konden oplossen, moest de FBI-ploeg eerst – gezien de gedecentraliseerde manier waarop federale rechtbanken en het ministerie van Justitie werken – bewijzen dat Mirai bestond in hun specifieke rechtsgebied, Alaska.

Om de gronden voor een strafzaak vast te stellen, lokaliseerde de ploeg nauwgezet geïnfecteerde IoT-apparaten met IP-adressen in heel Alaska, vervolgens vaardigde ze dagvaardingen uit aan het belangrijkste telecombedrijf van de staat, GCI, om een naam en fysieke locatie te koppelen. Agenten doorkruisten vervolgens de staat om de eigenaars van de apparaten te ondervragen en vast te stellen dat zij geen toestemming hadden gegeven om hun IoT-aankopen te laten kapen door de Mirai-malware.

Terwijl sommige geïnfecteerde apparaten in de buurt waren in Anchorage, waren andere verder weg; gezien de afgelegen ligging van Alaska, vereiste het verzamelen van sommige apparaten vliegreizen naar plattelandsgemeenschappen. Bij een openbaar nutsbedrijf op het platteland dat ook internetdiensten leverde, vonden agenten een enthousiaste netwerkingenieur die hielp bij het opsporen van besmette apparaten.

Nadat de geïnfecteerde apparaten in beslag waren genomen en naar het veldkantoor van de FBI waren getransporteerd – een laag gebouw op slechts een paar straten van het water in de dichtstbevolkte stad van Alaska – moesten de agenten ze, contra-intuïtief, weer inpluggen. Omdat Mirai malware alleen bestaat in flash geheugen, werd het elke keer verwijderd als het apparaat werd uitgezet of opnieuw opgestart. De agenten moesten wachten tot het apparaat opnieuw werd geïnfecteerd door Mirai; gelukkig was het botnet zo besmettelijk en verspreidde het zich zo snel dat het niet lang duurde voordat de apparaten opnieuw waren geïnfecteerd.

Van daaruit werkte het team aan het traceren van de verbindingen van het botnet terug naar de belangrijkste Mirai-besturingsserver. Vervolgens konden ze, gewapend met gerechtelijke bevelen, de bijbehorende e-mailadressen en mobiele telefoonnummers opsporen die voor deze accounts werden gebruikt, en zo namen aan de boxen koppelen.

“Het was veel van zes graden van Kevin Bacon,” legt Walton uit. “Op een gegeven moment liep de zaak vast omdat de auteurs van Mirai in Frankrijk een zogenaamde popped box hadden opgezet, een gecompromitteerd apparaat dat ze gebruikten als een VPN-knooppunt bij het verlaten van het internet, waarmee ze de werkelijke locatie en de fysieke computers die door de makers van Mirai werden gebruikt, verhulden.

Zo bleek, hadden ze een computer gekaapt die toebehoorde aan een Franse jongen die geïnteresseerd was in Japanse anime. Gezien het feit dat Mirai, volgens een uitgelekte chat, was vernoemd naar een anime serie uit 2011, Mirai Nikki, en dat het pseudoniem van de auteur Anna-Senpai was, was de Franse jongen een onmiddellijke verdachte.

“Het profiel kwam overeen met iemand van wie we verwachten dat hij betrokken is bij de ontwikkeling van Mirai,” zegt Walton; gedurende de hele zaak heeft de FBI, gezien de OVH-connectie, nauw samengewerkt met de Franse autoriteiten, die aanwezig waren toen enkele huiszoekingsbevelen werden uitgevoerd.

“De acteurs waren zeer geavanceerd in hun online beveiliging,” zegt Peterson. “Ik heb het tegen een aantal zeer zware jongens opgenomen, maar deze jongens waren net zo goed of beter dan sommige Oost-Europese teams waar ik het tegen op heb genomen.”

Dat maakt DDoS op zich al complexer, want het is een berucht moeilijk te bewijzen misdrijf. “DDoS kan in het luchtledige plaatsvinden, tenzij een bedrijf logboeken op de juiste manier vastlegt,” zegt Peterson. Klein, een voormalig UNIX-beheerder die is opgegroeid met Linux, is wekenlang bezig geweest met het in elkaar zetten van bewijsmateriaal en het opnieuw samenstellen van gegevens om te laten zien hoe de DDoS-aanvallen zich ontvouwden.

Op de gecompromitteerde apparaten moesten ze zorgvuldig de netwerkverkeersgegevens reconstrueren, en bestuderen hoe de Mirai-code zogenaamde “pakketten” lanceerde tegen zijn doelwitten – een weinig begrepen forensisch proces, bekend als het analyseren van PCAP-gegevens (packet capture). Zie het als het digitale equivalent van het testen op vingerafdrukken of kruitsporen. “Het was de meest complexe DDoS-software die ik ooit ben tegengekomen,” zegt Klein.

De FBI had de verdachten aan het eind van het jaar in het vizier: Maandenlang hingen foto’s van de drie aan de muur van het kantoor in Anchorage, waar agenten ze de “Cub Scout Pack” noemden, een knipoog naar hun jeugdigheid. (Een andere oudere vrouwelijke verdachte in een niet-verwante zaak, wiens foto ook op het bord hing, kreeg de bijnaam “Den Mother”.)

Beveiligingsjournalist Brian Krebs, een vroeg Mirai-slachtoffer, wees Jha en White in januari 2017 publiekelijk aan. Jha’s familie ontkende aanvankelijk zijn betrokkenheid, maar vrijdag pleitten hij, White en Norman allemaal schuldig aan samenzwering om de Computer Fraud and Abuse Act te overtreden, de belangrijkste strafrechtelijke aanklacht van de overheid voor cybercriminaliteit. De pleidooien werden woensdag bekendgemaakt door de computercriminaliteitseenheid van het Ministerie van Justitie in Washington, DC. Jha werd ook beschuldigd van – en schuldig bevonden aan – een bizarre reeks DDoS-aanvallen die de computernetwerken op de Rutgers-campus twee jaar lang hebben verstoord. Beginnend in het eerste jaar dat Jha er student was, begon Rutgers te lijden onder wat uiteindelijk een dozijn DDoS-aanvallen zouden worden die netwerken verstoorden, allemaal getimed op midterms. In die tijd drong een anonieme persoon online er bij de universiteit op aan om betere DDoS-beperkingsdiensten aan te schaffen – wat, zoals later bleek, precies het bedrijf was dat Jha zelf probeerde op te bouwen.

In een rechtszaal in Trenton woensdag, vertelde Jha – gekleed in een conservatief pak en met een bril met donkere montuur bekend van zijn oude LinkedIn-portret – de rechtbank dat hij de aanvallen op zijn eigen campus richtte wanneer deze het meest verstorend zouden zijn – met name tijdens de tentamens, de eindexamens en wanneer studenten zich probeerden in te schrijven voor de lessen.

“In feite timede u uw aanvallen omdat u de centrale verificatieserver wilde overbelasten wanneer dit het meest verwoestend zou zijn voor Rutgers, toch?” vroeg de federale aanklager.

“Ja,” zei Jha.

Dat de drie computerkenners uiteindelijk een betere DDoS-muisval bouwden, is niet per se verrassend; het was een gebied met een intense intellectuele interesse voor hen. Volgens hun online profielen werkten Jha en White samen om een DDoS-beschermingsfirma op te zetten; de maand voordat Mirai verscheen, beschreef Jha’s e-mail handtekening hem als “President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

Bij het bouwen van Mirai had elk lid van de groep zijn eigen rol, volgens de rechtbankdocumenten. Jha schreef een groot deel van de oorspronkelijke code en fungeerde als het belangrijkste online aanspreekpunt op hackingfora, onder de naam Anna-senpai.

White, die de online-naam Lightspeed en thegenius gebruikte, beheerde een groot deel van de infrastructuur van het botnet en ontwierp de krachtige internetscanner die hielp bij het identificeren van potentiële apparaten om te infecteren. De snelheid en doeltreffendheid van de scanner was een belangrijke drijfveer achter het vermogen van Mirai om de concurrentie aan te gaan met andere botnets zoals vDOS afgelopen herfst; op het hoogtepunt van Mirai bleek uit een experiment van The Atlantic dat een nep-IoT-apparaat dat online was gezet binnen een uur was gecompromitteerd.

Volgens gerechtelijke documenten werkte Dalton Norman, wiens rol in het Mirai-botnet onbekend was tot de pleidooien werden vrijgegeven, aan het identificeren van de zogenaamde zero-day-exploits die Mirai zo krachtig maakten. Volgens de rechtbankdocumenten identificeerde en implementeerde hij vier van dergelijke kwetsbaarheden die bij fabrikanten van apparatuur onbekend waren, als onderdeel van de besturingscode van Mirai, en vervolgens, toen Mirai groeide, werkte hij eraan om de code aan te passen om een veel krachtiger netwerk te runnen dan ze zich ooit hadden kunnen voorstellen.

Jha kwam al vroeg tot zijn interesse in technologie; volgens zijn inmiddels verwijderde LinkedIn-pagina omschreef hij zichzelf als “zeer zelfgemotiveerd” en legde hij uit dat hij zichzelf in de zevende klas begon te leren programmeren. Zijn interesse in wetenschap en technologie reikte ver: Het jaar daarop won hij de tweede prijs in de wetenschapsbeurs van de achtste klas van de Park Middle School in Fanwood, New Jersey, voor zijn ingenieursproject waarin hij de impact van aardbevingen op bruggen bestudeerde. In 2016 noemde hij zichzelf vaardig in “C#, Java, Golang, C, C++, PHP, x86 ASM, om nog maar te zwijgen van web ‘browsertalen’ zoals Javascript en HTML/CSS.” (Een vroege aanwijzing voor Krebs dat Jha waarschijnlijk betrokken was bij Mirai was dat de persoon die zichzelf Anna-Senpai noemde zijn vaardigheden had opgesomd door te zeggen: “Ik ben zeer vertrouwd met programmeren in een verscheidenheid van talen, waaronder ASM, C, Go, Java, C# en PHP.)

Dit is niet de eerste keer dat tieners en studenten belangrijke zwakheden in het internet hebben blootgelegd: De eerste grote computerworm werd in november 1988 ontketend door Robert Morris, destijds een student aan Cornell, en de eerste grote inbraak in de computernetwerken van het Pentagon – een geval dat bekend staat als Solar Sunrise – vond tien jaar later plaats, in 1998; het was het werk van twee Californische tieners in samenwerking met een Israëlische tijdgenoot. DDoS zelf dook op in 2000, ontketend door een tiener uit Quebec, Michael Calce, die online ging onder de naam Mafiaboy. Op 7 februari 2000 zette Calce een netwerk van zombiecomputers die hij had verzameld uit universiteitsnetwerken, in tegen Yahoo, toen de grootste zoekmachine van het web. Halverwege de ochtend had het de techgigant zo goed als lamgelegd en de site tot een kruipsnelheid vertraagd, en in de dagen daarna richtte Calce zijn pijlen op andere topwebsites als Amazon, CNN, eBay en ZDNet.

Tijdens een conferentiegesprek waarin de schuldbekentenissen woensdag werden aangekondigd, zei waarnemend plaatsvervangend assistent-procureur-generaal Richard Downing van het ministerie van Justitie dat de Mirai-zaak de gevaren onderstreepte van jonge computergebruikers die online de weg kwijtraken, en zei dat het ministerie van Justitie van plan was om zijn inspanningen om jongeren te bereiken uit te breiden.

“Ik heb zeker het gevoel gekregen dat ik heel oud ben en niet in staat om bij te blijven,” grapte aanklager Adam Alexander woensdag.

Wat de onderzoekers echter echt verbaasde, was dat toen ze Jha, White en Norman eenmaal in het vizier hadden, ze ontdekten dat de makers van Mirai al een nieuwe toepassing voor hun krachtige botnet hadden gevonden: Ze hadden DDoS-aanvallen opgegeven voor iets dat minder opvalt, maar ook lucratief is.

Ze gebruikten hun botnet voor een uitgebreide klikfraude-regeling waarbij ze ongeveer 100.000 gecompromitteerde IoT-apparaten, voornamelijk thuisrouters en modems, leidden om massaal reclame-links te bezoeken, zodat het leek alsof ze gewone computergebruikers waren. Ze verdienden duizenden dollars per maand met het bedriegen van Amerikaanse en Europese adverteerders, volledig buiten de radar, zonder dat iemand er iets van merkte. Het was, voor zover onderzoekers konden vertellen, een baanbrekend bedrijfsmodel voor een IoT-botnet.

Zoals Peterson zegt: “Hier was een geheel nieuwe misdaad waar de industrie blind voor was. We hebben het allemaal gemist.”

Zelfs terwijl de zaak in Alaska en New Jersey wordt afgerond – de drie verdachten zullen later worden veroordeeld – gaat de Mirai-plaag die Jha, White en Dalton hebben ontketend online verder. “Deze specifieke saga is voorbij, maar Mirai leeft nog steeds,” zegt Cloudflare’s Paine. “Er is een aanzienlijk risico dat nog steeds voortduurt, omdat de open source code door nieuwe actoren is hergebruikt. Al deze nieuwe bijgewerkte versies zijn er nog steeds.”

Twee weken geleden, begin december, verscheen er een nieuw IoT-botnet online dat aspecten van de code van Mirai gebruikte.

Bekend als Satori, infecteerde het botnet een kwart miljoen apparaten in zijn eerste 12 uur.

Garrett M. Graff (@vermontgmg) is een bijdragende redacteur voor WIRED. Hij is te bereiken op [email protected].

Dit artikel is bijgewerkt om aan te geven dat Mirai een hostingbedrijf genaamd Nuclear Fallout Enterprises heeft getroffen, en niet een spel genaamd Nuclear Fallout.

Massive Hacks

• Hoe een kwetsbaarheid in hotelsleutelkaarten over de hele wereld één inbreker de kans van zijn leven gaf.

• De bizarre samenloop van onthullingen die leidde tot de ontdekking van de Meltdown- en Spectre-kwetsbaarheden.

• En voor iedereen die zijn hackerslexicon wil bijspijkeren, een korte samenvatting van “sinkholing.”