Pull to refresh

Ботнет Mirai: как три тинейджера создали ботнет, способный отключить Интернет

Reading time13 min
Views5.6K
Original author: IEEE Spectrum

Студенты-первокурсники колледжа вполне обоснованно могут быть раздражены тем, что им не удаётся выбрать популярные факультативные дисциплины. Но обычно они лишь ворчат. Парас Джа стал исключением. Разгневанный тем, что старшекурсникам отдаётся приоритет при выборе курса computer science в Ратгерском университете, Парас решил обвалить веб-сайт регистрации, чтобы записаться не смог никто.

Ровно в 22:00 в среду 19 ноября 2014 года, когда только открылся период регистрации для студентов-первокурсников на весенние курсы, Парас запустил свою первую атаку distributed denial-of-service (DDoS). Он собрал армию примерно из сорока тысяч ботов, в основном из Восточной Европы и Китая, и направил их на центральный сервер аутентификации Ратгерского университета. Ботнет отправлял тысячи ложных запросов на аутентификацию, перегружая сервер. Однокурсники Параса не могли пробиться через ботов и зарегистрироваться.

В следующем семестре Парас попробовал снова. 4 марта 2015 года он отправил электронное письмо в газету кампуса The Daily Targum: «Какое-то время назад у вас была статья о DDoS-атаках на Ратгерский университет. Сеть атаковал я… Я снова атакую сеть в 20:15». Парас осуществил свою угрозу, выведя в сеть Ратгерского университета офлайн ровно в 20:15.

  • 27 марта Парас провёл ещё одну атаку на университет. Атака длилась четыре дня и вызвала застой в жизни кампуса. Пятьдесят тысяч студентов, преподаватели и другой персонал не имели компьютерного доступа из кампуса.

  • 29 апреля Парас опубликовал сообщение на Pastebin — веб-сайте, популярном среди хакеров благодаря возможности отправки анонимных сообщений. «Отдел ИТ Ратгерского университета — настоящее посмешище», — издевался он. «Я уже третий раз провёл DDoS-атаку на университет, и каждый раз его инфраструктура сплющивается, как алюминиевая банка под ногой».

Парас был в гневе оттого, что для защиты от DDoS университет выбрал небольшую фирму Incapsula, занимающуюся кибербезопасностью. Он заявил, что университет выбрал самую дешёвую компанию. «Просто чтобы показать вам ужасное качество сети Incapsula, я разгромил сеть Ратгерского университета (и части сети Incapsula) в надежде, что это заставит вас выбрать другую компанию, которая понимает, что делает».

Четвёртая атака Параса на сеть университета, произошедшая во время итоговых экзаменов, посеяла в кампусе хаос и панику. Парас упивался своей способностью отключить от сети крупный государственный университет, но его конечная цель заключалась в том, чтобы заставить вуз отказаться от услуг Incapsula. Парас организовал собственный сервис для борьбы с DDoS под названием ProTraf Solutions и хотел, чтобы университет отказался от Incapsula в пользу него. И он не собирался прекращать атаки на вуз, пока этого не произойдёт.

Хакер, воспитанный игрой Minecraft

Парас Джа вырос в Фэнвуде, расположенном неподалёку от Нью-Джерси. Когда Парас учился в третьем классе, учитель посоветовал проверить его на синдром дефицита внимания и гиперактивности, но родители не прислушались к нему.

В процессе дальнейшей учёбы в начальной школе его проблемы усиливались. Так как его интеллект был очевиден, учителя и родители связывали его посредственные результаты с ленью и апатией. Растерянные родители давили на него всё больше.

- Парас нашёл отдушину в компьютерах. В 12 лет он самостоятельно научился кодить, и это его увлекло. Родители с радостью восприняли его страсть, купили компьютер и предоставили неограниченный доступ в Интернет. Но их потакание привело к ещё большей изоляции Параса: он тратил всё своё время на кодинг, игры и общение с онлайн-друзьями.

  • Особенно Параса увлекла онлайн-игра Minecraft. В девятом классе он перешёл от игры в Minecraft к хостингу серверов. Именно тогда он впервые столкнулся с DDoS-атаками.

Администраторы серверов Minecraft часто покупают услуги DDoS-сервисов, чтобы мешать конкурентам. Изучая всё более сложные DDoS-атаки, Парас одновременно изучал и способы защиты от DDoS. Когда он освоил защиту от атак на серверах Minecraft, то решил создать ProTraf Solutions.

Одержимость Параса атаками и защитой Minecraft наряду с оставленным без лечения СДВГ привели к ещё большей изоляции от семьи и школы. Плохая успеваемость в старшей школе раздражала его и вгоняла в депрессию. Единственным утешением для него стали аниме и уважение со стороны специалистов по DDoS из онлайн-сообщества Minecraft.

Проблемы Параса обернулись полной беспомощностью, когда он поступил в Ратгерский университет, чтобы изучать computer science. Без материнской помощи он не мог самостоятельно регулировать свои повседневные потребности. Он не мог планировать сон, расписание и учёбу. К тому же Парас был очень одинок. И он занялся хакерством.

Парас с двумя своими друзьями-хакерами, Джосайей Уайтом и Далтоном Норманом, решили пойти по следам королей DDoS — группы под названием VDoS. Эта группа предоставляла услуги DDoS всему миру в течение четырёх лет, что в сфере киберпреступности почти равно вечности. Решение бросить вызов опытным киберпреступникам может показаться смелым, но на самом деле они были старше своих противников.

Когда участники группы VDoS начали предоставлять в 2012 году услуги DDoS из Израиля, им было всего по 14 лет. 19-летние американские тинейджеры собирались сразиться с 18-летними израильскими тинейджерами. Война между двумя подростковыми группами не только изменит природу malware, их борьба за доминирование в киберпространстве приведёт к созданию машины Судного дня.

Ботнет Mirai, несмотря на весь свой разрушительный потенциал, не был творением организованной преступности или государственной хакерской группы — его создали три подростка. Они продавали услуги своего ботнета покупателям и использовали его для собственных атак. Но настоящий масштаб опасности стал очевидным только позже, когда эта команда опубликовала исходный код своего malware.

Другие разработчики применили его, чтобы нанести ещё больший урон: они вывели из строя крупнейшего Интернет-провайдера Германии, атаковали DNS-серверы Dyn, помешали миллионам пользоваться Интернетом, отключили весь Интернет в Либерии. И это лишь некоторые из примеров.

  • Ботнет Mirai использовал уязвимые устройства Internet of Things, например, подключенные к вебу видеокамеры с поддержкой Telnet. Владельцы таких устройств редко меняли пароли, поэтому их легко можно было подобрать при помощи атаки по словарю.

Первый этап в создании ботнета заключается в сканировании случайных IP-адресов в поисках уязвимых IoT-устройств, пароли которых можно подобрать. После обнаружения адреса таких устройств передаются «загрузчику», записывающему malware на уязвимое устройство. Далее заражённые устройства, которые находятся по всему свету, можно использовать для распределённых атак типа «отказ в обслуживании», управляемых сервером command-and-control (C2). Когда боты не атаковали цель, их можно было использовать для сканирования в поисках новых уязвимых устройств с целью заражения.

Ботнетное безумие

Ботнет-malware полезно для финансово мотивированной преступности, потому что ботоводы могут приказать своим ботам внедрять malware на уязвимые машины, отправлять фишинговые электронные письма, участвовать в мошеннических схемах, где ботнеты зарабатывают на том, что боты кликают по рекламе pay-per-click.

Кроме того, ботнеты — это отличное оружие для DDoS, потому что им можно указать цель и атаковать её со всем направлений. Например, одним февральским днём в 2000 году хакер MafiaBoy вывел из строя Fifa.comAmazon.comDellE-TradeeBayCNN и Yahoo, который в то время был крупнейшим поисковым движком в Интернете.

Отключив такое количество важных веб-сайтов, MafiaBoy стал угрозой национального уровня. Президент Клинтон приказал начать его государственные поиски. В апреле 2000 года MafiaBoy арестовали и предъявили обвинения, а в январе 2001 года признали виновным в 58 случаях атак denial-of-service. Правоохранительные органы не раскрыли истинного имени MafiaBoy, потому что этой угрозе национального уровня было всего 15 лет.

И MafiaBoy, и команда VDoS были ломающими серверы подростками. Но MafiaBoy делал это для развлечения, а VDoS — ради денег. Эти израильские тинейджеры были предпринимателями-первопроходцами. Они способствовали появлению нового вида киберпреступлений: DDoS as a service. Благодаря нему теперь любой мог заниматься хакингом одним щелчком мыши, без необходимости технических знаний.

Возможно, вас удивит, что поставщики услуг DDoS могли в открытую рекламироваться в вебе. Ведь DDoS чужого сайта незаконен в любой стране. Чтобы обойти это ограничение, такие сервисы (booter service) заявляли, что выполняют вполне законную функцию: предоставляют услуги тем, кто хочет подвергнуть свой веб-сайт стресс-тесту.

Теоретически, такие сервисы действительно выполняют важную функцию. Но только в теории. Поставщик услуг booter service признался исследователям Кембриджского университета: «Мы действительно пытались рекламировать эти сервисы законопослушной пользовательской базе, но знали, откуда на самом деле приходят настоящие деньги».

Ботнеты августа

Парас ушёл из Ратгерского университета на втором курсе и по совету отца следующий год занимался созданием своего бизнеса для борьбы с DDoS ProTraf Solutions. Подобно дону мафии, занимающемуся рэкетом под видом «защиты», ему нужна была подобная подстраховка. После четырёх DDoS-атак на первом курсе он повторно атаковал университет в сентябре 2015 года, по-прежнему надеясь, что его бывший вуз откажется от Incapsula. Университет не поддался.

ProTraf Solutions медленно тонул, а Парасу нужны были деньги. В мае 2016 года Парас обратился к Джосайе Уайту. Как и Парас, Джосайя часто посещал хакерские форумы. Когда ему было пятнадцать лет, он разработал основные части Qbot — ботнет-червя, пик активности которого пришёлся на 2014 год; он захватил полмиллиона компьютеров. Теперь, когда ему было восемнадцать, Джосайя перешёл на другую сторону и начал вместе со своим другом Парасом бороться в ProTraf с DDoS-атаками.

Хакерский сервер command-and-control (C2) управляет действиями множества географически распределенных ботов (компьютеров под его контролем). Эти компьютеры, которые могут быть IoT-устройствами наподобие IP-камер, можно заставить перегрузить серверы жертвы нежелательным трафиком, из-за чего он не сможет отвечать на настоящие запросы.

  • Но вскоре Джосайя вернулся к хакингу и начал совместно с Парасом работать над совершенствованием Qbot; они создали более крупный и мощный ботнет для DDoS. Затем Парас и Джосайя объединили усилия с 19-летним Далтоном Норманом. Это трио превратилось в слаженную команду: Далтон находил уязвимости, Джосайя переписывал ботнет-malware так, чтобы оно использовало эти уязвимости, а Парас писал C2 — ПО для сервера command-and-control, позволяющее управлять ботнетом.

Однако у троицы были конкуренты. Две другие DDoS-группы — Lizard Squad и VDoS — решили объединиться для создания гигантского ботнета. Их партнёрство, известное под названием PoodleCorp, стало успешным. Объём трафика, которым можно было атаковать цель из ботнета PoodleCorp, поставил рекорд — 400 гигабитов в секунду, почти в четыре раза больше того, чего мог достичь любой другой ботнет до него.

Они использовали своё оружие для атак на банки в Бразилии и США, на государственные сайты и на серверы Minecraft. Они получили такую мощь, взломав 1,3 тысячи подключенных к вебу камер. Веб-камеры обычно имеют мощные процессоры и быстрый канал связи, и их редко патчат. Поэтому использующий камеры ботнет обладал огромной огневой силой.

Пока PoodleCorp развивалась, Парас, Джосайя и Далтон работали над новым оружием. К началу августа 2016 года это трио завершило первую версию своего ботнет-malware. Парас назвал новый код Mirai в честь аниме-сериала Mirai Nikki.

После выпуска Mirai он стал распространяться подобно лесному пожару. За первые 20 часов он заразил 65 тысяч устройств, увеличивая свой размер вдвое каждые 76 минут. И у Mirai в разгоревшейся войне ботнетов имелся не подозревающий об этом союзник.

В Анкоридже (штат Аляска) отдел кибербезопасности ФБР завело дело на VDoS. ФБР было неизвестно о Mirai и о его войне с VDoS. Агенты не читали регулярно онлайн-ресурсы наподобие хакерских форумов. Они не знали, что цель их расследования уже начали уничтожать. Не понимало ФБР и то, что Mirai уже был готов шагнуть в пустоту.

Руководителем анкориджского расследования был специальный агент Эллиот Питерсон, бывший десантник, спокойный и уверенный в себе агент с короткостриженной рыжей шевелюрой. В 33 года Питерсон вернулся в свой родной штат, чтобы бороться с киберпреступностью.

8 сентября 2016 года отделы кибербезопасности ФБР в Анкоридже и Нью-Хейвене совместно выписали ордер на обыск дома участника PoodleCorp из Коннектикута, который управлял C2, контролировавшем все ботнеты группы. В тот же день израильская полиция арестовала основателей VDoS. Внезапно PoodleCorp прекратила своё существование.

Группа Mirai подождала пару дней, чтобы оценить ситуацию на поле боя. Насколько могли судить её члены, она осталась единственным выжившим ботнетом. И они были готовы воспользоваться своей новой силой. Mirai победила в этой войне, потому что израильские и американские правоохранители арестовали руководителей PoodleCorp. Но Mirai всё равно бы выиграла, потому что была безжалостно эффективной в захвате устройств Internet of Things и борьбе с конкурирующим malware.

Несколько недель спустя после арестов участников VDoS специальный агент Питерсон нашёл для себя новую цель: ботнет Mirai. Мы не знаем, какие конкретно шаги предпринимала команда в расследовании дела Mirai: судебные предписания по этому делу пока засекречены. Но из того, что предано гласности, мы знаем, что команда Питерсона совершила свой прорыв привычным ей способом — при помощи жертвы Mirai: специалиста по кибербезопасности Брайана Кребса, чей блог подвергся DDoS ботнета Mirai 25 сентября.

ФБР обнаружила IP-адрес C2 и загружающих malware серверов, но не знала, кто открыл аккаунты. Скорее всего, команда Питерсона потребовала у компаний-хостеров сообщить имена, электронную почту, мобильные телефоны и способы оплаты владельцев аккаунтов. Имея эту информацию, она могла запросить судебные предписания, а затем и ордеры на обыск, чтобы получить содержимое переговоров злоумышленников.

Тем не менее, охота на авторов malware Mirai должна была оказаться сложной, учитывая то, насколько умны эти хакеры. Например, чтобы избежать обнаружения, Джосайя не просто использовал VPN. Он взломал домашний компьютер французского подростка и использовал его в качестве исходящего узла. Поэтому приказы ботнету поступали с этого компьютера. К сожалению для владельца, он был большим фанатом аниме, а потому соответствовал психологическому портрету хакера. ФБР и французская полиция обнаружили свою ошибку только после вторжения в дом мальчика.

Падение

Накопив за два месяца силы, Парас выложил почти полный исходный код Mirai на форумы хакеров. «Я заработал свои деньги, сегодня за IOT следит слишком много глаз, поэтому настало время сваливать», — написал Парас. Благодаря опубликованному коду Парас позволил кому угодно создать собственный Mirai. Так и произошло.

Публикация кода — авантюрный поступок, но далеко не необычный. Если полиция найдёт исходный код на устройствах хакера, он может заявить, что «скачал его из Интернета». Безответственное раскрытие кода Парасом стало частью провокации с целью избавиться от преследования ФБР, собиравшего доказательства участия Параса в Mirai. Хотя он выдал агенту выдуманную историю, сообщение от ФБР, вероятно, привело его в ужас.

Mirai заинтересовал сообщество специалистов по кибербезопасности и правоохранителей. Однако публикация исходного кода Mirai привлекла внимание Соединённых Штатов. Первая атака после публикации произошла 21 октября и была осуществлена на Dyn — компанию из Манчестера (штат Нью-Гемпшир), предоставляющую услуги резолвинга Domain Name System (DNS) большой части Восточного побережья США.

Она началась в 7:07 по североамериканскому восточному времени с серии 25-секундных атак, которые считают тестами ботнета и инфраструктуры Dyn. Затем последовали более длительные нападения: в течение часа, потом пяти часов. Любопытно, что Dyn оказалась не единственной целью. Удар был нанесён и по видеоигровой инфраструктуре Sony PlayStation. Из-за интенсивности потоков затронутыми оказалось и множество других веб-сайтов. Не работали такие домены, как cnn.comfacebook.com и nytimes.com. Для подавляющего большинства их пользователей Интернет оказался недоступен. В 19:00 по Dyn и PlayStation ударил ещё один артиллерийский залп, на этот раз десятичасовой.

При дальнейшем расследовании была подтверждена цель атак. Вместе с трафиком Dyn и PlayStation ботнет атаковал игровые серверы Xbox Live и Nuclear Fallout. Это не была попытка какого-то государства взломать выборы в США. Кто-то пытался выкинуть игроков с игровых серверов. Снова, как и в случае с MafiaBoy, VDoS, Парасом, Далтоном и Джосайей, нападавшим оказался подросток, на этот раз 15-летний парень из Северной Ирландии по имени Аарон Стерритт.

Тем временем, трио владельцев Mirai ушло из бизнеса DDoS, как и обещал Парас. Однако Парас и Далтон не прекратили заниматься киберпреступностью. Они просто перешли к мошенничеству с кликами на рекламе.

Мошенничество с кликами было более выгодным, чем управление booter service. Хотя Mirai уже не был таким крупным, как раньше, тем не менее, ботнет генерировал приличный доход от рекламы. За один месяц Парас и Далтон заработали на мошенничестве с кликами столько же, сколько за всё время заработка на DDoS. К январю 2017 года они получили более $180 тысяч; за DDoS же ими было получено всего $14 тысяч.

Если бы Парас и его друзья просто закрыли свой booter service и перешли на мошенничество с кликами, то мир, скорее всего, забыл бы про них. Но опубликовав код Mirai, Парас породил подражателей. Dyn стала первой целью для их атак, а потом появилось множество других. А из-за огромного ущерба, вызванного этими подражателями, правоохранители сильно заинтересовались авторами Mirai.

  • Собрав информацию, связывающую Параса, Джосайю и Далтона с Mirai, ФБР привезло всех их на Аляску. Команда Питерсона показала подозреваемым улики и дала им шанс помочь следствию. Учитывая неопровержимость улик, все они согласились.

Параса Джа вынесли обвинение дважды, один раз в Нью-Джерси за атаку на университет, во второй раз — на Аляске за Mirai. Оба обвинения заключались в нарушении Computer Fraud and Abuse Act. Парас за его действия светил срок в десять лет в федеральной тюрьме. Джосайе и Далтону вынесли обвинение только в Аляске, поэтому они получили бы по пять лет тюрьмы.

Трио признали виновными. На слушаниях по вынесению приговора 18 сентября 2018 года в Анкоридже каждый из ответчиков выразил раскаяние в своих действиях. Адвокат Джосайи Уайта сказал, что тот считает Mirai «своей огромной оплошностью».

В отличие от Джосайи, в суде Парас напрямую общался с судьёй Тимоти Бёрджессом. Парас начал с того, что взял на себя полную ответственность за свои действия и выразил глубокие сожаления за весь тот ущерб, который нанёс своей семье. Также он извинился за урон, который нанёс компаниям и, в частности, Ратгерскому университету, своему факультету и студентам.

Департамент юстиции принял необычное решение — он не стал просить о тюремном сроке. В своём распоряжении государство отметило «расхождение между онлайн-личностями обвиняемых, которые были важными, известными злоумышленниками в сфере DDoS, и их довольно приземлённой „реальной жизни“, где они представляли собой незрелых молодых людей, живущих со своими родителями в относительной безвестности». Государство рекомендовало пять лет условного осуждения и 2,5 тысячи часов общественных работ.

У государства было ещё одно требование — общественные работы «должны включать в себя постоянное сотрудничество с ФБР в сфере киберпреступности и кибербезопасности». Ещё до вынесения приговора Парас, Джосайя и Далтон около тысячи часов помогали ФБР находить и задерживать подражателей Mirai. Они внесли свой вклад в более чем десяток дел. В одном из случаев трио помогло остановить группу хакеров национального уровня. Также они помогли ФБР предотвратить DDoS-атаки, нацеленные на то, чтобы помешать покупкам в рождественский сезон. Судья Бёрджесс принял рекомендации государства и трио удалось избежать тюрьмы.

Самым проникновенным в слушании стал момент, когда Парас и Далтон выразили признательность каждому из тех, кто их ловил. «Два года назад, когда я встретил специального агента Эллиота Питерсона, я был высокомерным дураком, считавшим себя неприкасаемым. Во время нашей второй встречи он сказал мне фразу, которую я никогда не забуду „Ты уже попал в яму. Пора прекратить копать“. Парас завершил свою речь благодарностями своей семье, друзьям и агенту Питерсону, помогающим ему пройти через всё это.

Ещё больше интересного и познавательного контента в Telegram-канале — @secur_researcher

Tags:
Hubs:
Total votes 10: ↑7 and ↓3+4
Comments3

Articles