How a Dorm Room Minecraft Scam Brought Down the Internet

What Anna-senpai didn’t realize when he dumped the source code was that the FBI had already worked through enough digital hoops to finger Jha as a likely suspect, and had done so from an unlikely perch: Anchorage, Alaska.

To, że jedna z wielkich historii internetowych 2016 roku zakończy się w sali sądowej w Anchorage w ostatni piątek – prowadzona przez asystenta prokuratora amerykańskiego Adama Alexandra do przyznania się do winy ledwie rok po pierwotnym wykroczeniu, co jest niezwykle szybkim tempem dla cyberprzestępstw – było samo w sobie momentem sygnalnym, oznaczającym ważne dojrzewanie w krajowym podejściu FBI do cyberprzestępstw.

Do niedawna prawie wszystkie główne oskarżenia FBI dotyczące cyberprzestępczości pochodziły z zaledwie kilku biur, takich jak Waszyngton, Nowy Jork, Pittsburgh i Atlanta. Teraz jednak coraz więcej biur zyskuje wyrafinowanie i zrozumienie, aby poskładać razem czasochłonne i technicznie skomplikowane sprawy internetowe.

Peterson jest weteranem najsłynniejszego zespołu cybernetycznego FBI, pionierskiego oddziału w Pittsburghu, który połączył przełomowe sprawy, jak ta przeciwko pięciu chińskim hakerom PLA. W tym zespole, Peterson – energiczny, hard-charging, college informatyki major i adiutant Korpusu Piechoty Morskiej, który rozmieszczone dwa razy do Iraku przed dołączeniem do biura, a teraz służy w FBI Alaska SWAT zespołu – pomógł prowadzić dochodzenie w sprawie botnetu GameOver Zeus, że ukierunkowane rosyjskiego hakera Evgeny Bogachev, który pozostaje na wolności z $ 3 mln nagrody za jego schwytanie.

Często agenci FBI są odciągani od swoich głównych specjalizacji w miarę rozwoju kariery; w latach po 9/11, jeden z kilkudziesięciu arabskojęzycznych agentów biura skończył prowadząc oddział badający białych supremacjonistów. Ale Peterson pozostał skoncentrowany na sprawach cybernetycznych, nawet gdy prawie dwa lata temu przeniósł się z powrotem do swojego rodzinnego stanu Alaska, gdzie dołączył do najmniejszego oddziału cybernetycznego FBI – zaledwie czterech agentów, nadzorowanych przez Waltona, wieloletniego agenta rosyjskiego kontrwywiadu, i współpracujących z Kleinem, byłym administratorem systemów UNIX.

Mały zespół, mimo to, zaczął odgrywać ogromną rolę w krajowych bitwach o cyberbezpieczeństwo, specjalizując się w atakach DDoS i botnetach. Na początku tego roku, Anchorage skład był instrumentalny w take-down długo działające Kelihos botnet, prowadzony przez Peter Yuryevich Levashov, aka „Peter of the North,” haker aresztowany w Hiszpanii w kwietniu.

W części, mówi Marlin Ritzman, special-agent-in-charge FBI w Anchorage Field Office, to dlatego, że Alaska geografii sprawia, że ataki denial-of-service szczególnie personal.

„Alaska jest wyjątkowo umieszczony z naszych usług internetowych-mnóstwo społeczności wiejskich zależy od Internetu, aby dotrzeć do świata zewnętrznego,” Ritzman mówi. „Atak typu denial-of-service może wyłączyć komunikację do całych społeczności tutaj, to nie jest tylko jeden biznes lub inny. To ważne dla nas, aby zaatakować to zagrożenie.”

Połączenie sprawy Mirai było powolne dla czteroagentowego oddziału z Anchorage, nawet podczas bliskiej współpracy z dziesiątkami firm i naukowców z sektora prywatnego, aby poskładać razem globalny portret bezprecedensowego zagrożenia.

Zanim udało się rozwiązać międzynarodową sprawę, oddział FBI najpierw – biorąc pod uwagę zdecentralizowany sposób działania sądów federalnych i Departamentu Sprawiedliwości – musiał udowodnić, że Mirai istniał w ich konkretnej jurysdykcji, na Alasce.

Aby ustalić podstawy sprawy karnej, oddział skrupulatnie zlokalizował zainfekowane urządzenia IoT z adresami IP na całej Alasce, a następnie wystosował wezwania do głównej firmy telekomunikacyjnej stanu, GCI, w celu dołączenia nazwy i fizycznej lokalizacji. Następnie agenci przejechali przez cały stan, aby przeprowadzić rozmowy z właścicielami urządzeń i ustalić, czy nie wyrazili oni zgody na to, aby ich urządzenia IoT zostały porwane przez złośliwe oprogramowanie Mirai.

Podczas gdy niektóre zainfekowane urządzenia znajdowały się w pobliżu w Anchorage, inne były bardziej oddalone; biorąc pod uwagę oddalenie Alaski, zebranie niektórych urządzeń wymagało podróży samolotem do społeczności wiejskich. W jednym z wiejskich przedsiębiorstw użyteczności publicznej, które również świadczyło usługi internetowe, agenci znaleźli entuzjastycznego inżyniera sieciowego, który pomógł w namierzeniu zainfekowanych urządzeń.

Po przejęciu zainfekowanych urządzeń i przewiezieniu ich do biura terenowego FBI – nisko położonego budynku zaledwie kilka przecznic od wody w najbardziej zaludnionym mieście Alaski – agenci, wbrew intuicji, musieli je z powrotem podłączyć. Ponieważ złośliwe oprogramowanie Mirai istnieje tylko w pamięci flash, było usuwane za każdym razem, gdy urządzenie było wyłączane lub ponownie uruchamiane. Agenci musieli czekać, aż urządzenie zostanie ponownie zainfekowane przez Mirai; na szczęście botnet był tak zaraźliwy i rozprzestrzeniał się tak szybko, że ponowne zainfekowanie urządzeń nie trwało długo.

Z tego miejsca zespół pracował nad prześledzeniem połączeń botnetu z powrotem do głównego serwera kontrolnego Mirai. Następnie, uzbrojeni w nakazy sądowe, byli w stanie prześledzić powiązane adresy e-mail i numery telefonów komórkowych używane do tych kont, ustalając i łącząc nazwiska ze skrzynkami.

„To było wiele z sześciu stopni Kevina Bacona”, wyjaśnia Walton. „W pewnym momencie sprawa utknęła w martwym punkcie, ponieważ autorzy Mirai założyli we Francji tzw. popped box, skompromitowane urządzenie, którego używali jako węzła VPN wyjściowego z Internetu, ukrywając w ten sposób faktyczną lokalizację i fizyczne komputery używane przez twórców Mirai.

Jak się okazało, porwali oni komputer należący do francuskiego dziecka zainteresowanego japońskim anime. Biorąc pod uwagę, że Mirai, zgodnie z wyciekiem czatu, został nazwany na cześć serii anime z 2011 roku, Mirai Nikki, a pseudonimem autora była Anna-Senpai, francuski chłopiec był natychmiastowym podejrzanym.

„Profil pasował do kogoś, kogo spodziewaliśmy się zaangażować w rozwój Mirai”, mówi Walton; w całej sprawie, biorąc pod uwagę powiązania z OVH, FBI ściśle współpracowało z władzami francuskimi, które były obecne podczas przeprowadzania niektórych nakazów przeszukania.

„Aktorzy byli bardzo wyrafinowani pod względem bezpieczeństwa online”, mówi Peterson. „Ci byli tak dobrzy lub lepsi niż niektóre zespoły z Europy Wschodniej, z którymi miałem do czynienia.”

Dodając do tego złożoność, DDoS sam w sobie jest notorycznie trudnym przestępstwem do udowodnienia – nawet samo udowodnienie, że przestępstwo w ogóle miało miejsce, może być niezwykle trudne po fakcie. „DDoS może zdarzyć się w próżni, chyba że firma we właściwy sposób przechwytuje logi” – mówi Peterson. Klein, były administrator systemu UNIX, który dorastał, bawiąc się Linuksem, spędził tygodnie na łączeniu dowodów i ponownym składaniu danych, aby pokazać, jak przebiegały ataki DDoS.

Na skompromitowanych urządzeniach musieli dokładnie zrekonstruować dane o ruchu sieciowym i zbadać, w jaki sposób kod Mirai wystrzeliwał tak zwane „pakiety” przeciwko swoim celom – mało zrozumiały proces kryminalistyczny, znany jako analiza danych PCAP (przechwytywanie pakietów). Potraktujcie to jako cyfrowy odpowiednik badania odcisków palców lub śladów po postrzale. „To było najbardziej złożone oprogramowanie DDoS, z jakim się zetknąłem” – mówi Klein.

FBI namierzyło podejrzanych pod koniec roku: Zdjęcia tej trójki wisiały miesiącami na ścianie w biurze terenowym w Anchorage, gdzie agenci nazwali ich „paczką skautów”, co było ukłonem w stronę ich młodości. (Inna starsza kobieta podejrzana w niepowiązanej sprawie, której zdjęcie również wisiało na tablicy, otrzymała przydomek „Den Mother.”)

Dziennikarz zajmujący się bezpieczeństwem Brian Krebs, wczesna ofiara Mirai, publicznie wskazał na Jha i White’a w styczniu 2017 roku. Rodzina Jha początkowo zaprzeczała jego udziałowi, ale w piątek on, White i Norman wszyscy przyznali się do winy za spisek w celu naruszenia ustawy o oszustwach i nadużyciach komputerowych, głównego rządowego zarzutu karnego dla cyberprzestępczości. Zarzuty zostały ujawnione w środę i ogłoszone przez jednostkę ds. przestępstw komputerowych Departamentu Sprawiedliwości w Waszyngtonie.

Jha został również oskarżony o – i przyznał się do winy – dziwaczny zestaw ataków DDoS, które zakłóciły działanie sieci komputerowych na kampusie Rutgers przez dwa lata. Począwszy od pierwszego roku, kiedy Jha był tam studentem, Rutgers zaczął cierpieć z powodu kilkunastu ataków DDoS, które zakłóciły pracę sieci. W tym czasie, bezimienna osoba online popchnęła uniwersytet do zakupu lepszych usług łagodzenia DDoS – co, jak się okazało, było dokładnie tym biznesem, który sam Jha próbował zbudować.

W sali sądowej w Trenton w środę, Jha – ubrany w konserwatywny garnitur i okulary w ciemnej oprawce znane z jego starego portretu na LinkedIn – powiedział sądowi, że wymierzył ataki w swój własny kampus, kiedy byłyby one najbardziej uciążliwe – konkretnie podczas egzaminów śródsemestralnych, finałów i kiedy studenci próbowali zarejestrować się na zajęcia.

„W rzeczywistości, określiłeś czas swoich ataków, ponieważ chciałeś przeciążyć centralny serwer uwierzytelniania, kiedy byłoby to najbardziej niszczycielskie dla Rutgers, prawda?” zapytał prokurator federalny.

„Tak”, powiedział Jha.

I rzeczywiście, fakt, że trzej komputerowi geniusze skończyli budując lepszą pułapkę na DDoS nie musi być zaskakujący; był to dla nich obszar intensywnego zainteresowania intelektualnego. Według ich profili internetowych, Jha i White pracowali razem nad stworzeniem firmy zajmującej się łagodzeniem skutków DDoS; miesiąc przed pojawieniem się Mirai, podpis e-mailowy Jha opisywał go jako „President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

W ramach budowy Mirai, każdy członek grupy miał swoją własną rolę, zgodnie z dokumentami sądowymi. Jha napisał znaczną część oryginalnego kodu i służył jako główny internetowy punkt kontaktowy na forach hakerskich, używając pseudonimu Anna-senpai.

White, który używał pseudonimów internetowych Lightspeed i thegenius, prowadził znaczną część infrastruktury botnetu, projektując potężny skaner internetowy, który pomagał w identyfikacji potencjalnych urządzeń do zainfekowania. Szybkość i skuteczność skanera była kluczową siłą napędową zdolności Mirai do konkurowania z innymi botnetami, takimi jak vDOS zeszłej jesieni; w szczytowym momencie Mirai, eksperyment przeprowadzony przez The Atlantic wykazał, że fałszywe urządzenie IoT stworzone online przez tę publikację zostało skompromitowane w ciągu godziny.

Zgodnie z dokumentami sądowymi, Dalton Norman – którego rola w botnecie Mirai była nieznana do czasu ujawnienia porozumień w sprawie zarzutów – pracował nad identyfikacją tak zwanych exploitów zero-day, które uczyniły Mirai tak potężnym. Według dokumentów sądowych, zidentyfikował i wdrożył cztery takie luki nieznane producentom urządzeń jako część kodu operacyjnego Mirai, a następnie, w miarę rozwoju Mirai, pracował nad dostosowaniem kodu, aby uruchomić znacznie potężniejszą sieć, niż kiedykolwiek sobie wyobrażali.

Jha wcześnie doszedł do swojego zainteresowania technologią; zgodnie ze swoją obecnie usuniętą stroną LinkedIn, opisał siebie jako „wysoce zmotywowanego do działania” i wyjaśnił, że zaczął uczyć się programowania w siódmej klasie. Jego zainteresowania nauką i technologią były bardzo szerokie: W następnym roku zdobył drugą nagrodę w konkursie naukowym dla ósmej klasy w Park Middle School w Fanwood, New Jersey, za projekt inżynierski badający wpływ trzęsień ziemi na mosty. W 2016 roku wymienił siebie jako biegłego w „C#, Java, Golang, C, C++, PHP, x86 ASM, nie wspominając o językach przeglądarek internetowych, takich jak Javascript i HTML/CSS”. (Jedną z wczesnych wskazówek dla Krebsa, że Jha był prawdopodobnie zaangażowany w Mirai, było to, że osoba nazywająca siebie Anna-Senpai wymieniła swoje umiejętności mówiąc: „Jestem bardzo dobrze zaznajomiona z programowaniem w różnych językach, w tym ASM, C, Go, Java, C# i PHP”.)

Nie jest to pierwszy raz, kiedy nastolatki i studenci college’u obnażyli kluczowe słabości w Internecie: Pierwszy poważny robak komputerowy został uwolniony w listopadzie 1988 r. przez Roberta Morrisa, wówczas studenta Cornell, a pierwsze poważne włamanie do sieci komputerowych Pentagonu – przypadek znany jako Solar Sunrise – miało miejsce dekadę później, w 1998 r.; było to dzieło dwóch nastolatków z Kalifornii w porozumieniu ze współczesnym Izraelczykiem. Samo DDoS pojawiło się w 2000 r., rozpętane przez nastolatka z Quebecu, Michaela Calce’a, który w sieci posługiwał się pseudonimem Mafiaboy. 7 lutego 2000 r. Calce skierował sieć komputerów-zombie, które zebrał z sieci uniwersyteckich, przeciwko Yahoo, największej wówczas wyszukiwarce internetowej. Do południa sieć sparaliżowała giganta technologicznego, spowalniając witrynę do pełzania, a w następnych dniach Calce obrał sobie za cel inne czołowe witryny, takie jak Amazon, CNN, eBay i ZDNet.

Na konferencji telefonicznej ogłaszającej przyznanie się do winy w środę, p.o. zastępcy asystenta prokuratora generalnego Departamentu Sprawiedliwości Richard Downing powiedział, że sprawa Mirai uwypukliła niebezpieczeństwa młodych użytkowników komputerów, którzy gubią się w sieci – i powiedział, że Departament Sprawiedliwości planuje rozszerzyć swoje wysiłki na rzecz młodzieży.

„Z pewnością poczułem się bardzo stary i nie mogłem nadążyć”, zażartował w środę prokurator Adam Alexander.

To, co naprawdę zaskoczyło śledczych, to fakt, że kiedy mieli już Jha, White’a i Normana na celowniku, odkryli, że twórcy Mirai znaleźli już nowe zastosowanie dla swojego potężnego botnetu: Zrezygnowali z ataków DDoS na rzecz czegoś mniej popularnego – ale również lukratywnego.

Używali swojego botnetu do prowadzenia skomplikowanego schematu wyłudzania kliknięć – kierując około 100 000 skompromitowanych urządzeń IoT, głównie domowych routerów i modemów, do masowego odwiedzania linków reklamowych, sprawiając wrażenie, że są zwykłymi użytkownikami komputerów. Zarabiali tysiące dolarów miesięcznie, wyłudzając pieniądze od amerykańskich i europejskich reklamodawców, całkowicie poza zasięgiem radaru, i nikt się nie zorientował. Był to, o ile śledczy byli w stanie stwierdzić, przełomowy model biznesowy dla botnetu IoT.

Jak mówi Peterson, „To było zupełnie nowe przestępstwo, na które branża była ślepa. Wszyscy to przegapiliśmy.”

Nawet gdy sprawa na Alasce i w New Jersey dobiega końca – trzej oskarżeni zostaną później skazani – plaga Mirai, którą rozpętali Jha, White i Dalton, nadal trwa w sieci. „Ta szczególna saga już się skończyła, ale Mirai wciąż żyje” – mówi Paine z Cloudflare. „Istnieje znaczne ryzyko, które trwa nadal, ponieważ otwarty kod źródłowy został ponownie wykorzystany przez nowych aktorów. Wszystkie te nowe, zaktualizowane wersje wciąż tam są.”

Dwa tygodnie temu, na początku grudnia, w sieci pojawił się nowy botnet IoT wykorzystujący aspekty kodu Mirai.

Znany jako Satori, botnet zainfekował ćwierć miliona urządzeń w ciągu pierwszych 12 godzin.

Garrett M. Graff (@vermontgmg) jest redaktorem współpracującym w WIRED. Można się z nim skontaktować pod adresem [email protected].

Ten artykuł został zaktualizowany, aby odzwierciedlić fakt, że Mirai uderzył w firmę hostingową o nazwie Nuclear Fallout Enterprises, a nie w grę o nazwie Nuclear Fallout.

Massive Hacks

• Jak luka w hotelowych kartach kluczowych na całym świecie dała jednemu włamywaczowi życiową szansę.

• Dziwny zbieg rewelacji, który doprowadził do odkrycia luk w zabezpieczeniach Meltdown i Spectre.

• A dla wszystkich, którzy chcą podszlifować swój hakerski leksykon, krótkie podsumowanie „sinkholingu.”

.