Cum o escrocherie Minecraft din camera de cămin a doborât internetul

Ceea ce nu și-a dat seama Anna-senpai când a aruncat codul sursă a fost că FBI-ul trecuse deja prin destule cercuri digitale pentru a-l desemna pe Jha ca suspect probabil, și a făcut acest lucru de pe o poziție improbabilă: Anchorage, Alaska.

Că una dintre marile povești de pe internet din 2016 să ajungă într-o sală de judecată din Anchorage vinerea trecută – ghidată de procurorul adjunct al SUA, Adam Alexander, spre o pledoarie de vinovăție la abia un an de la infracțiunea inițială, un ritm remarcabil de rapid pentru infracțiunile cibernetice – a fost un moment de semnal în sine, marcând o maturizare importantă în abordarea națională a FBI față de infracțiunile cibernetice.

Până de curând, aproape toate urmăririle penale majore ale FBI în materie de infracțiuni cibernetice proveneau doar dintr-o mână de birouri precum Washington, New York, Pittsburgh și Atlanta. Acum, însă, un număr din ce în ce mai mare de birouri dobândesc sofisticarea și înțelegerea necesare pentru a pune cap la cap cazuri de internet care necesită mult timp și sunt complexe din punct de vedere tehnic.

Peterson este un veteran al celei mai faimoase echipe cibernetice a FBI, o echipă de pionierat din Pittsburgh care a pus la punct cazuri revoluționare, cum ar fi cel împotriva a cinci hackeri chinezi de la PLA. În cadrul acelei echipe, Peterson – un absolvent de informatică din facultate, energic și dârz, adjutant al Corpului de Infanterie Marină, care a fost detașat de două ori în Irak înainte de a se alătura biroului, iar acum face parte din echipa SWAT a FBI din Alaska – a ajutat la conducerea investigației privind botnetul GameOver Zeus, care l-a vizat pe hackerul rus Evgeny Bogachev, care rămâne în libertate cu o recompensă de 3 milioane de dolari pentru capturarea sa.

De multe ori, agenții FBI sfârșesc prin a fi îndepărtați de specialitățile lor de bază pe măsură ce avansează în carieră; în anii de după 11 septembrie 2001, unul dintre cele câteva zeci de agenți vorbitori de limbă arabă ai biroului a ajuns să conducă o echipă de investigare a supremației albilor. Dar Peterson a rămas concentrat pe cazurile cibernetice chiar și atunci când s-a transferat în urmă cu aproape doi ani înapoi în statul său natal, Alaska, unde s-a alăturat celei mai mici echipe cibernetice a FBI – doar patru agenți, supravegheați de Walton, un vechi agent de contrainformații rusești, și având ca partener pe Klein, un fost administrator de sisteme UNIX.

Cu toate acestea, micuța echipă a ajuns să joace un rol important în bătăliile pentru securitatea cibernetică a țării, specializându-se în atacuri DDoS și botnet-uri. La începutul acestui an, echipa din Anchorage a avut un rol esențial în doborârea botnetului Kelihos, administrat de mult timp de Peter Yuryevich Levashov, cunoscut sub numele de „Peter of the North”, un hacker arestat în Spania în aprilie.

În parte, spune Marlin Ritzman, agentul special însărcinat cu biroul FBI din Anchorage, acest lucru se datorează faptului că geografia Alaskăi face ca atacurile de negare a serviciului să fie deosebit de personale.

„Alaska este poziționată în mod unic cu serviciile noastre de internet – multe comunități rurale depind de internet pentru a ajunge în lumea exterioară”, spune Ritzman. „Un atac de tip denial-of-service ar putea întrerupe comunicațiile pentru comunități întregi de aici, nu este vorba doar de o afacere sau alta. Este important pentru noi să atacăm această amenințare.”

Punerea cap la cap a cazului Mirai a fost un proces lent pentru echipa de patru agenți din Anchorage, chiar și în timp ce lucrau îndeaproape cu zeci de companii și cercetători din sectorul privat pentru a pune cap la cap un portret global al unei amenințări fără precedent.

Înainte de a putea rezolva un caz internațional, echipa FBI a trebuit mai întâi – având în vedere modul descentralizat în care funcționează instanțele federale și Departamentul de Justiție – să dovedească faptul că Mirai a existat în jurisdicția lor particulară, Alaska.

Pentru a stabili temeiurile unui caz penal, echipa a localizat cu minuțiozitate dispozitivele IoT infectate cu adrese IP în toată Alaska, apoi a emis citații către principala companie de telecomunicații a statului, GCI, pentru a atașa un nume și o locație fizică. Agenții au străbătut apoi tot statul pentru a intervieva proprietarii dispozitivelor și a stabili că aceștia nu au dat permisiunea ca achizițiile lor IoT să fie deturnate de malware-ul Mirai.

În timp ce unele dispozitive infectate se aflau în apropiere, în Anchorage, altele erau mai departe; având în vedere depărtarea Alaskăi, colectarea unor dispozitive a necesitat călătorii cu avionul în comunitățile rurale. La un serviciu public rural care furniza, de asemenea, servicii de internet, agenții au găsit un inginer de rețea entuziast care a ajutat la depistarea dispozitivelor compromise.

După ce au confiscat dispozitivele infectate și le-au transportat la biroul de teren al FBI – o clădire joasă la doar câteva blocuri de apă în cel mai populat oraș din Alaska – agenții, în mod contraintuitiv, au trebuit apoi să le conecteze la loc. Deoarece malware-ul Mirai există doar în memoria flash, acesta era șters de fiecare dată când dispozitivul era oprit sau repornit. Agenții trebuiau să aștepte ca dispozitivul să fie reinfectat de Mirai; din fericire, botnetul a fost atât de infecțios și s-a răspândit atât de rapid încât nu a durat mult până când dispozitivele au fost reinfectate.

De acolo, echipa a lucrat pentru a urmări conexiunile botnetului până la serverul principal de control Mirai. Apoi, înarmați cu ordine judecătorești, au reușit să depisteze adresele de e-mail asociate și numerele de telefon mobil folosite pentru aceste conturi, stabilind și legând numele de cutii.

„A fost o mulțime de șase grade de Kevin Bacon”, explică Walton. „Am continuat să coborâm în acest lanț.”

La un moment dat, cazul s-a împotmolit deoarece autorii Mirai au stabilit în Franța o așa-numită popped box, un dispozitiv compromis pe care l-au folosit ca nod VPN de ieșire de pe internet, ascunzând astfel locația reală și computerele fizice folosite de creatorii Mirai.

Acum s-a dovedit că aceștia deturnaseră un computer care aparținea unui copil francez interesat de anime-uri japoneze. Având în vedere că Mirai fusese numit, conform unei scurgeri de informații de pe chat, după un serial anime din 2011, Mirai Nikki, și că pseudonimul autorului era Anna-Senpai, băiatul francez a fost un suspect imediat.

„Profilul se potrivea cu cineva la care ne așteptam să fie implicat în dezvoltarea Mirai”, spune Walton; pe tot parcursul cazului, având în vedere legătura cu OVH, FBI a lucrat îndeaproape cu autoritățile franceze, care au fost prezente în momentul în care au fost efectuate unele dintre mandatele de percheziție.

„Actorii erau foarte sofisticați în ceea ce privește securitatea lor online”, spune Peterson. „M-am confruntat cu niște tipi foarte duri, iar aceștia erau la fel de buni sau mai buni decât unele dintre echipele din Europa de Est cu care m-am confruntat.”

Aducând un plus de complexitate, DDoS în sine este o infracțiune notorie, dificil de dovedit – chiar și simpla dovadă că infracțiunea a avut loc vreodată poate fi extraordinar de dificilă după comiterea ei. „DDoS se poate întâmpla în vid, cu excepția cazului în care o companie captează jurnalele în mod corect”, spune Peterson. Klein, un fost administrator UNIX care a crescut jucându-se cu Linux, a petrecut săptămâni întregi punând cap la cap dovezile și reasamblând datele pentru a arăta cum s-au desfășurat atacurile DDoS.

Pe dispozitivele compromise, a trebuit să reconstruiască cu atenție datele de trafic de rețea și să studieze modul în care codul Mirai a lansat așa-numitele „pachete” împotriva țintelor sale – un proces criminalistic puțin înțeles, cunoscut sub numele de analiză a datelor PCAP (captură de pachete). Gândiți-vă la aceasta ca la echivalentul digital al testării amprentelor digitale sau a reziduurilor de praf de pușcă. „A fost cel mai complex software DDoS pe care l-am întâlnit”, spune Klein.

FBI a ajuns la zero asupra suspecților până la sfârșitul anului: Fotografiile celor trei au fost atârnate luni de zile pe peretele biroului din Anchorage, unde agenții i-au poreclit „haita de cercetași”, o aluzie la tinerețea lor. (O altă femeie mai în vârstă suspectă într-un caz fără legătură, a cărei fotografie a fost, de asemenea, atârnată pe panou, a fost poreclită „Den Mother”.)

Jurnalistul de securitate Brian Krebs, o victimă timpurie a Mirai, i-a indicat public pe Jha și White în ianuarie 2017. Familia lui Jha a negat inițial implicarea sa, dar vineri el, White și Norman au pledat vinovați de conspirație pentru încălcarea Legii privind frauda și abuzul de calculator, principala acuzație penală a guvernului pentru criminalitatea informatică. Pledoariile au fost desigilate miercuri și au fost anunțate de unitatea de infracțiuni informatice a Departamentului de Justiție din Washington, DC.

Jha a fost, de asemenea, acuzat și a pledat vinovat pentru un set bizar de atacuri DDoS care au perturbat rețelele informatice din campusul Rutgers timp de doi ani. Începând cu primul an în care Jha a fost student acolo, Rutgers a început să sufere de ceea ce avea să fie în cele din urmă o duzină de atacuri DDoS care au perturbat rețelele, toate sincronizate cu examenele intermediare. La vremea respectivă, o persoană anonimă din mediul online a împins universitatea să achiziționeze servicii mai bune de atenuare DDoS – care, după cum s-a dovedit, era exact afacerea pe care Jha însuși încerca să o construiască.

Într-o sală de judecată din Trenton, miercuri, Jha – purtând un costum conservator și ochelarii cu ramă închisă la culoare cunoscuți din vechiul său portret de pe LinkedIn – a declarat în fața instanței că a îndreptat atacurile împotriva propriului său campus atunci când acestea ar fi fost cele mai perturbatoare – în special în timpul semestrelor, al examenelor finale și când studenții încercau să se înscrie la cursuri.

„De fapt, v-ați programat atacurile pentru că ați vrut să suprasolicitați serverul central de autentificare atunci când ar fi fost cel mai devastator pentru Rutgers, nu-i așa?”, a întrebat procurorul federal.

„Da”, a spus Jha.

De fapt, faptul că cei trei savanți în informatică au ajuns să construiască o capcană de șoareci DDoS mai bună nu este neapărat surprinzător; era un domeniu de interes intelectual intens pentru ei. Potrivit profilurilor lor online, Jha și White lucraseră de fapt împreună pentru a construi o firmă de atenuare DDoS; cu o lună înainte de apariția Mirai, semnătura de e-mail a lui Jha îl descria ca „President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

În cadrul construirii Mirai, fiecare membru al grupului a avut propriul său rol, potrivit documentelor judiciare. Jha a scris o mare parte din codul original și a servit ca principal punct de contact online pe forumurile de hacking, folosind pseudonimul Anna-senpai.

White, care a folosit pseudonimele online Lightspeed și thegenius, a condus o mare parte din infrastructura botnetului, proiectând puternicul scaner de internet care a ajutat la identificarea dispozitivelor potențiale de infectat. Viteza și eficiența scanerului a fost un factor cheie în spatele capacității Mirai de a depăși alte rețele botnet, precum vDOS, în toamna anului trecut; la apogeul Mirai, un experiment realizat de The Atlantic a constatat că un dispozitiv IoT fals creat online de publicație a fost compromis într-o oră.

Potrivit documentelor judiciare, Dalton Norman – al cărui rol în rețeaua botnet Mirai a fost necunoscut până când acordurile de recunoaștere a vinovăției au fost desecretizate – a lucrat pentru a identifica așa-numitele exploit-uri de tip zero-day care au făcut Mirai atât de puternic. Potrivit documentelor instanței, el a identificat și a implementat patru astfel de vulnerabilități necunoscute producătorilor de dispozitive ca parte a codului de operare al Mirai, iar apoi, pe măsură ce Mirai a crescut, a lucrat pentru a adapta codul pentru a rula o rețea mult mai puternică decât și-au imaginat vreodată.

Jha și-a manifestat de timpuriu interesul pentru tehnologie; potrivit paginii sale de LinkedIn, acum ștearsă, el s-a descris ca fiind „foarte motivat” și a explicat că a început să învețe singur programare în clasa a șaptea. Interesul său pentru știință și tehnologie a variat foarte mult: În anul următor, a câștigat premiul al doilea la târgul de știință din clasa a opta de la Park Middle School din Fanwood, New Jersey, pentru proiectul său de inginerie care studia impactul cutremurelor asupra podurilor. Până în 2016, el s-a enumerat ca fiind competent în „C#, Java, Golang, C, C++, PHP, x86 ASM, ca să nu mai vorbim de „limbajele de navigare” web, cum ar fi Javascript și HTML/CSS”. (Un prim indiciu timpuriu pentru Krebs că Jha era probabil implicat în Mirai a fost faptul că persoana care se autointitula Anna-Senpai și-a enumerat competențele spunând: „Sunt foarte familiarizată cu programarea într-o varietate de limbaje, inclusiv ASM, C, Go, Java, C# și PHP.”)

Nu este prima dată când adolescenții și studenții de la facultate au expus slăbiciuni cheie ale internetului: Primul vierme informatic major a fost dezlănțuit în noiembrie 1988 de Robert Morris, pe atunci student la Cornell, iar prima intruziune majoră în rețelele informatice ale Pentagonului – un caz cunoscut sub numele de Solar Sunrise – a avut loc un deceniu mai târziu, în 1998; a fost opera a doi adolescenți californieni în colaborare cu un contemporan israelian. DDoS propriu-zis a apărut în anul 2000, declanșat de un adolescent din Quebec, Michael Calce, care a intrat pe internet sub pseudonimul Mafiaboy. La 7 februarie 2000, Calce a îndreptat o rețea de calculatoare zombi pe care le adunase din rețelele universitare împotriva Yahoo, pe atunci cel mai mare motor de căutare de pe internet. Până la jumătatea dimineții a paralizat gigantul tehnologic, încetinind site-ul, iar în zilele următoare, Calce a vizat alte site-uri de top precum Amazon, CNN, eBay și ZDNet.

În cadrul unei conferințe telefonice în care a anunțat miercuri pledoariile de vinovăție, adjunctul interimar al procurorului general adjunct al Departamentului de Justiție, Richard Downing, a declarat că cazul Mirai a subliniat pericolele la care se expun tinerii utilizatori de computere care se rătăcesc pe internet – și a precizat că Departamentul de Justiție intenționează să își extindă eforturile de informare a tinerilor.

„Cu siguranță am fost făcut să mă simt foarte bătrân și incapabil să țin pasul”, a glumit miercuri procurorul Adam Alexander.

Ceea ce i-a surprins cu adevărat pe anchetatori, totuși, a fost că, odată ce i-au avut în vizor pe Jha, White și Norman, au descoperit că creatorii Mirai găsiseră deja o nouă utilizare pentru puternicul lor botnet: Renunțaseră la atacurile DDoS pentru ceva mai puțin mediatizat – dar, de asemenea, profitabil.

Ei își foloseau botnetul pentru a rula o schemă elaborată de fraudă prin clicuri – direcționând aproximativ 100.000 de dispozitive IoT compromise, în principal routere și modemuri casnice, pentru a vizita în masă linkuri publicitare, făcând să pară că sunt utilizatori obișnuiți de calculator. Aceștia făceau mii de dolari pe lună, fraudând agenții de publicitate din SUA și Europa, fără ca nimeni să se prindă. Era, din câte au putut spune anchetatorii, un model de afaceri revoluționar pentru un botnet IoT.

Cum spune Peterson, „Aici era o crimă cu totul nouă la care industria era oarbă. Cu toții am ratat-o.”

Incă în timp ce cazul din Alaska și New Jersey se încheie – cei trei inculpați vor fi condamnați mai târziu – ciuma Mirai pe care Jha, White și Dalton au dezlănțuit-o continuă online. „Această saga particulară s-a încheiat, dar Mirai încă trăiește”, spune Paine de la Cloudflare. „Există un risc semnificativ în curs de desfășurare care a continuat, deoarece codul sursă deschis a fost reprodus de noi actori. Toate aceste noi versiuni actualizate sunt încă acolo.”

În urmă cu două săptămâni, la începutul lunii decembrie, un nou botnet IoT a apărut online folosind aspecte ale codului lui Mirai.

Denumit Satori, botnetul a infectat un sfert de milion de dispozitive în primele 12 ore.

Garrett M. Graff (@vermontgmg) este editor colaborator pentru WIRED. El poate fi contactat la [email protected].

Acest articol a fost actualizat pentru a reflecta faptul că Mirai a lovit o companie de găzduire numită Nuclear Fallout Enterprises, nu un joc numit Nuclear Fallout.

Massive Hacks

• Cum o vulnerabilitate în cardurile de chei ale hotelurilor din întreaga lume i-a oferit unui spărgător oportunitatea vieții sale.

• Confluența bizară de dezvăluiri care a dus la descoperirea vulnerabilităților Meltdown și Spectre.

• Și pentru oricine dorește să-și reîmprospăteze lexicul de hacker, un scurt rezumat despre „sinkholing.”