Como um Esquema de Minecraft para Salas de Dormitório Trazia pela Internet

O que Anna-senpai não percebeu quando ele largou o código fonte foi que o FBI já tinha trabalhado através de arcos digitais suficientes para dedicar Jha como um provável suspeito, e tinha feito isso a partir de um improvável poleiro: Anchorage, Alasca.

Que uma das grandes histórias da internet de 2016 acabaria num tribunal de Anchorage na sexta-feira passada – guiado pelo assistente do advogado americano Adam Alexander – para uma confissão de culpa apenas um ano após a ofensa original, um ritmo notavelmente rápido para os cibercrimes – foi um momento de sinal em si, marcando uma importante maturação na abordagem nacional do FBI aos cibercrimes.

até recentemente, quase todos os principais processos de crimes cibernéticos do FBI saíram de apenas alguns escritórios como Washington, Nova Iorque, Pittsburgh, e Atlanta. Agora, porém, um número crescente de escritórios está ganhando sofisticação e compreensão para juntar casos de internet demorados e tecnicamente complexos.

Peterson é um veterano da equipe cibernética mais famosa do FBI, uma equipe pioneira em Pittsburgh que juntou casos revolucionários, como esse contra cinco hackers chineses do PLA. Naquele esquadrão, Peterson – um ajudante enérgico, de carga pesada, graduado em ciências da computação e da Marinha, que se destacou duas vezes para o Iraque antes de se juntar ao bureau, e agora atua na equipe SWAT do FBI Alasca – ajudou a liderar a investigação sobre a rede de bots GameOver Zeus, que tem como alvo o hacker russo Evgeny Bogachev, que permanece em liberdade com uma recompensa de 3 milhões de dólares pela sua captura.

Muitas vezes, agentes do FBI acabam sendo afastados de suas especialidades principais à medida que sua carreira avança; nos anos após o 11 de setembro, um dos poucos agentes de língua árabe do FBI acabou dirigindo um esquadrão que investigava os supremacistas brancos. Mas Peterson continuou concentrado em casos cibernéticos mesmo quando se transferiu há quase dois anos para o seu estado natal, no Alasca, onde se juntou ao menor esquadrão cibernético do FBI – apenas quatro agentes, supervisionados por Walton, um agente de contra-espionagem russo de longa data, e em parceria com Klein, um antigo administrador de sistemas UNIX.

A pequena equipe, no entanto, chegou a assumir um papel de grande porte nas batalhas de segurança cibernética do país, especializando-se em ataques DDoS e botnets. No início deste ano, a equipe de Anchorage foi fundamental na derrubada da longa rede de botnets Kelihos, dirigida por Peter Yuryevich Levashov, conhecido como “Peter of the North”, um hacker preso na Espanha em abril.

Em parte, diz Marlin Ritzman, o responsável pelo grupo especial do FBI’s Anchorage Field Office, isso porque a geografia do Alasca torna os ataques de negação de serviço particularmente pessoais.

“O Alasca está posicionado de forma única com nossos serviços de internet – muitas comunidades rurais dependem da internet para chegar ao mundo exterior”, diz Ritzman. “Um ataque de negação de serviço poderia fechar as comunicações para comunidades inteiras aqui em cima, não é apenas um negócio ou outro”. É importante para nós atacarmos essa ameaça”

A montagem do caso Mirai foi lenta para o esquadrão de quatro agentes Anchorage, mesmo quando eles trabalharam de perto com dezenas de empresas e pesquisadores do setor privado para montar um retrato global de uma ameaça sem precedentes”.

Antes de poderem resolver um caso internacional, a esquadra do FBI deu primeiro a forma descentralizada que os tribunais federais e o Departamento de Justiça trabalham – para provar que Mirai existia na sua jurisdição particular, Alasca.

Para estabelecer os fundamentos de um caso criminal, a esquadra localizou cuidadosamente dispositivos IoT infectados com endereços IP em todo o Alasca, depois emitiu intimações para a principal empresa de telecomunicações do estado, a GCI, para anexar um nome e uma localização física. Os agentes então cruzaram o estado para entrevistar os donos dos dispositivos e estabelecer que eles não tinham dado permissão para que suas compras de IoT fossem sequestradas pelo malware Mirai.

Embora alguns dispositivos infectados estivessem perto de Anchorage, outros estavam mais longe; dada a distância do Alasca, a coleta de alguns dispositivos exigia viagens de avião para as comunidades rurais. Em um serviço público rural que também fornecia serviços de internet, os agentes encontraram um engenheiro de rede entusiasta que ajudou a localizar dispositivos comprometidos.

Depois de apreender os dispositivos infectados e transportá-los para o escritório de campo do FBI – um edifício de baixo relevo a apenas alguns quarteirões da água na mais populosa cidade do Alasca -agentes, contraintuitivamente, então tive que ligá-los novamente. Como o Mirai malware só existe na memória flash, ele foi apagado toda vez que o dispositivo foi desligado ou reiniciado. Os agentes tiveram que esperar que o dispositivo fosse reinfectado pelo Mirai; felizmente, a botnet foi tão infecciosa e se espalhou tão rapidamente que não demorou muito para que os dispositivos fossem reinfectados.

De lá, a equipe trabalhou para rastrear as conexões da botnet de volta ao servidor de controle principal do Mirai. Então, armados com ordens judiciais, eles foram capazes de rastrear endereços de e-mail associados e números de celulares usados para essas contas, estabelecendo e ligando nomes às caixas.

“Era um monte de seis graus de Kevin Bacon”, explica Walton. “Continuamos a descer essa cadeia”.

Em um ponto, o caso atolou-se porque os autores de Mirai tinham estabelecido na França uma chamada caixa popped, um dispositivo comprometido que eles usavam como um nó VPN de saída da internet, camuflando assim a localização real e computadores físicos usados pelos criadores de Mirai.

Como acabou, eles tinham seqüestrado um computador que pertencia a um garoto francês interessado no anime japonês. Como Mirai tinha, de acordo com uma conversa vazada, recebido o nome de uma série de anime 2011, Mirai Nikki, e que o pseudônimo do autor era Anna-Senpai, o garoto francês era um suspeito imediato.

“O perfil alinhado com alguém que esperávamos estar envolvido no desenvolvimento de Mirai”, diz Walton; ao longo do caso, dada a ligação OVH, o FBI trabalhou de perto com as autoridades francesas, que estavam presentes à medida que alguns dos mandados de busca eram conduzidos.

“Os actores eram muito sofisticados na sua segurança online”, diz Peterson. “Eu corri contra alguns caras realmente difíceis, e esses caras eram tão bons ou melhores do que algumas das equipes da Europa Oriental que eu enfrentei”.

Adicionando à complexidade, o próprio DDoS é um crime notoriamente difícil de provar – mesmo simplesmente provar que o crime já aconteceu pode ser extraordinariamente desafiador depois do fato. “O DDoS pode acontecer no vácuo, a menos que uma empresa capture os registros da maneira correta”, diz Peterson. Klein, um antigo administrador UNIX que cresceu brincando com o Linux, passou semanas juntando evidências e remontando dados para mostrar como os ataques DDoS se desdobraram.

Nos dispositivos comprometidos, eles tiveram que reconstruir cuidadosamente os dados de tráfego da rede, e estudar como o código Mirai lançou os chamados “pacotes” contra seus alvos – um processo forense pouco compreendido, conhecido como análise de dados PCAP (packet capture). Pense nisso como o equivalente digital do teste de impressões digitais ou resíduos de pólvora. “Foi o software DDoS mais complexo que já encontrei”, diz Klein.

O FBI zerou os suspeitos até o final do ano: Fotos dos três pendurados durante meses na parede do escritório de campo de Anchorage, onde os agentes os apelidaram de “Pacote dos Escuteiros”, um aceno à sua juventude. (Outra suspeita mais velha num caso não relacionado, cuja foto também foi pendurada no quadro, foi apelidada de “Den Mother”)

Jornalista de segurança Brian Krebs, uma das primeiras vítimas de Mirai, dedurou publicamente Jha e White em janeiro de 2017. A família de Jha inicialmente negou seu envolvimento, mas na sexta-feira ele, White e Norman declararam-se todos culpados de conspiração para violar a Lei de Fraude e Abuso de Computador, a principal acusação criminal do governo por crimes cibernéticos. As acusações foram desmarcadas na quarta-feira e anunciadas pela unidade de crimes informáticos do Departamento de Justiça em Washington, DC.

Jha também foi acusado de – e confessou-se culpado de – um bizarro conjunto de ataques DDoS que tinha perturbado as redes de computadores no campus da Rutgers durante dois anos. Começando no primeiro ano em que Jha foi estudante lá, a Rutgers começou a sofrer do que seria uma dúzia de ataques de DDoS que interromperam as redes, todos cronometrados até meados do ano. Na época, um indivíduo anônimo online pressionou a universidade a comprar melhores serviços de mitigação de DDoS – que, ao que parece, era exatamente o negócio que o próprio Jha estava tentando construir.

Na quarta-feira, em um tribunal de Trenton, Jha – usando um terno conservador e os óculos escurecidos familiares de seu antigo retrato no LinkedIn – disse ao tribunal que ele apontou ataques contra seu próprio campus quando eles seriam mais perturbadores especificamente durante os exames intermediários, finais e quando os alunos estavam tentando se registrar para a aula.

“Na verdade, você cronometrou seus ataques porque queria sobrecarregar o servidor central de autenticação quando este seria o mais devastador para o Rutgers, certo?” perguntou o promotor federal.

“Sim”, disse Jha.

Indeed, que os três economizadores de computador acabaram construindo uma ratoeira DDoS melhor não é necessariamente surpreendente; era uma área de intenso interesse intelectual para eles. De acordo com seus perfis online, Jha e White tinham realmente trabalhado juntos para construir uma empresa de mitigação DDoS; no mês antes do Mirai aparecer, a assinatura de e-mail de Jha o descreveu como “Presidente, ProTraf Solutions, LLC, Enterprise DDoS Mitigation”

Como parte da construção do Mirai, cada membro do grupo tinha seu próprio papel, de acordo com os documentos do tribunal. Jha escreveu muito do código original e serviu como o principal ponto de contato online em fóruns de hacking, usando o moniker Anna-senpai.

White, que usou o monikers online Lightspeed e thegenius, administrou grande parte da infra-estrutura de botnet, projetando o poderoso scanner de internet que ajudou a identificar dispositivos em potencial para infectar. A velocidade e eficácia do scanner foi um fator-chave por trás da capacidade de Mirai de superar outras redes de bots como o vDOS no último outono; no auge de Mirai, uma experiência da The Atlantic descobriu que um falso dispositivo IoT que a publicação criou online foi comprometido em uma hora.

De acordo com documentos do tribunal, Dalton Norman – cujo papel na rede de bots Mirai era desconhecido até que os acordos de alegação fossem desmarcados – foi trabalhado para identificar as chamadas explorações de dia zero que tornaram Mirai tão poderoso. De acordo com documentos da corte, ele identificou e implementou quatro vulnerabilidades desconhecidas dos fabricantes de dispositivos como parte do código operacional do Mirai, e então, conforme o Mirai crescia, ele trabalhava para adaptar o código para rodar uma rede muito mais poderosa do que eles imaginavam.

Jha chegou cedo ao seu interesse pela tecnologia; de acordo com a sua página agora apagada do LinkedIn, ele descreveu-se como “altamente auto-motivado” e explicou que começou a ensinar a si próprio a programar no sétimo ano. O seu interesse pela ciência e pela tecnologia variou muito: No ano seguinte, ganhou o segundo prémio na feira de ciências do oitavo ano na Park Middle School em Fanwood, New Jersey, pelo seu projecto de engenharia que estudava o impacto dos terramotos nas pontes. Até 2016, ele se listou como proficiente em “C#, Java, Golang, C, C++, PHP, x86 ASM, para não mencionar as ‘linguagens de navegador’ da web, como Javascript e HTML/CSS”. (Uma pista inicial para Krebs de que Jha estava provavelmente envolvido em Mirai era que a pessoa que se chamava Anna-Senpai tinha listado suas habilidades dizendo: “Estou muito familiarizado com programação em uma variedade de linguagens, incluindo ASM, C, Go, Java, C# e PHP.)

Esta não é a primeira vez que adolescentes e estudantes universitários expõem fraquezas chave na internet: O primeiro grande worm de computador foi desencadeado em novembro de 1988 por Robert Morris, então um estudante da Cornell, e a primeira grande intrusão nas redes de computadores do Pentágono – um caso conhecido como Solar Sunrise- veio uma década depois, em 1998; foi o trabalho de dois adolescentes da Califórnia em concerto com um contemporâneo israelense. O próprio DDoS surgiu em 2000, desencadeado por um adolescente do Quebec, Michael Calce, que entrou online pelo mafioso mafioso. Em 7 de fevereiro de 2000, Calce transformou uma rede de computadores zumbis que ele tinha montado a partir de redes universitárias contra o Yahoo, então o maior mecanismo de busca da web. No meio da manhã, ele já tinha tudo menos aleijado o gigante da tecnologia, atrasando o site para um rastejamento, e nos dias seguintes, Calce teve como alvo outros sites de ponta como Amazon, CNN, eBay e ZDNet.

Em uma teleconferência anunciando as confissões de culpa na quarta-feira, o Procurador-Geral Adjunto do Departamento de Justiça Richard Downing disse que o caso Mirai ressaltou os perigos dos jovens usuários de computador que perdem o caminho on-line – e disse que o Departamento de Justiça planejava expandir seus esforços de alcance da juventude.

“Eu certamente me fiz sentir muito velho e incapaz de acompanhar”, brincou o promotor Adam Alexander na quarta-feira.

O que realmente surpreendeu os investigadores, no entanto, foi que uma vez que eles tinham Jha, White e Norman na mira, eles descobriram que os criadores de Mirai já tinham encontrado um novo uso para sua poderosa botnet: Eles haviam desistido dos ataques DDoS por algo de perfil mais baixo – mas também lucrativo.

Eles estavam usando sua botnet para executar um esquema elaborado de fraude por clique – direcionando cerca de 100.000 dispositivos IoT comprometidos, a maioria roteadores domésticos e modems, para visitar links de publicidade em massa, fazendo parecer que eles eram usuários regulares de computador. Eles estavam ganhando milhares de dólares por mês defraudando anunciantes americanos e europeus, totalmente fora do radar, sem ninguém mais sábio. Era, até onde os investigadores podiam dizer, um modelo de negócio inovador para um botnet IoT.

Como diz Peterson, “Aqui estava todo um novo crime ao qual a indústria estava cega”. Todos nós o perdemos”.

Even como o caso no Alasca e Nova Jersey envolve – os três réus vão enfrentar a sentença mais tarde – a praga Mirai que Jha, White, e Dalton desencadearam continua online. “Esta saga em particular acabou, mas Mirai ainda vive”, diz Paine, do Cloudflare. “Há um risco significativo que continua, já que o código fonte aberto foi redireccionado por novos actores”. Todas essas novas versões atualizadas ainda estão por aí”

Duas semanas atrás, no início de dezembro, um novo botnet IoT apareceu online usando aspectos do código do Mirai.

Known como Satori, o botnet infectou um quarto de milhão de dispositivos em suas primeiras 12 horas.

Garrett M. Graff (@vermontgmg) é um editor contribuinte para WIRED. Ele pode ser encontrado em [email protected].

Este artigo foi atualizado para refletir que Mirai atingiu uma empresa de hospedagem chamada Nuclear Fallout Enterprises, não um jogo chamado Nuclear Fallout.

Massive Hacks

• Como uma vulnerabilidade em cartões-chave de hotel em todo o mundo deu a um assaltante a oportunidade de uma vida inteira.

• A confluência bizarra das revelações que levaram à descoberta das vulnerabilidades do Meltdown e Spectre.

• E para qualquer um que procure escovar o seu léxico hacker, um breve resumo do “sinkholing”.