Fredrik Sandberg / Scanpix / LETA 
истории

Все началось с «Майнкрафта» Хакеры, превратившие роутеры и веб-камеры в крупнейшую сеть ботов, пытались заработать на серверах для видеоигры: Wired

Источник: Wired

В октябре 2016 года огромное количество сайтов на несколько часов вышли из строя. Причиной одного из самых масштабных сбоев в истории интернета стала DDoS-атака на DNS-сервис Dyn, из-за чего нарушилась связь между IP-адресами и их доменными именами. Специалисты по безопасности были в шоке: ни с чем подобным они до сих пор не сталкивались, объем мусорного трафика, которым организаторы DDoS-атаки под названием Mirai забрасывали сайты, был беспрецедентным. Кто стоял за созданием кибероружия, стало известно только сейчас: гигантский ботнет из роутеров и веб-камер трое американцев создали ради того, чтобы заработать на «Майнкрафте». The Wired рассказывает их историю.


«Майнкрафт» — пожалуй, самая популярная современная видеоигра. В ней нет никакой конечной цели, графика в игре нарочито старомодная, но зато в «Майнкрафте» можно построить все, что угодно. Одновременно в него играют более миллиона человек, а ежемесячная аудитория превышает 55 миллионов. Сама игра стоит недорого, но онлайн-серверы для совместной игры предлагают дополнительные услуги за деньги: например, приоритетный доступ, возможность летать и тому подобные бонусы. Многие серверы позволяют играть в сильно модифицированный «Майнкрафт», который мало что общего имеет с оригинальной игрой. Основная аудитория игры — дети.

Успешный бизнес на серверах в «Майнкрафте» может приносить до 100 тысяч долларов в месяц. Вместе с серверами существует отдельный рынок DDoS-атак на них: за небольшую плату можно на время «завалить» сервер-конкурент мусорным трафиком, замедлить игру на нем и попросту вывести из строя. К 2016 году этот вид «бизнеса» потихоньку умирал: появилось немало сервисов, которые предлагали дешевую защиту от DDoS-атак для владельцев серверов в «Майнкрафте».

21-летний студент из Нью-Джерси Парас Джа и его ровесники из Питтсбурга и Нового Орлеана Иосия Уайт и Дэлтон Норман стали думать, как заработать на DDoS-атаках и решили создать собственную фирму, которая будет от этих атак защищать. Это распространенная практика в мире киберпреступности: люди, которые предлагают защиту, часто перед этим сами и ломают клиента. Им пришла идея создать программу, которая сама искала бы в интернете устройства типа роутеров, веб-камер, принтеров с доступом к сети, даже холодильников и тостеров с Wi-Fi — и брала бы их под свой контроль.

У таких устройств крайне редко меняют логины и пароли, чаще всего это что-то вроде «admin/admin». У них множество уязвимостей, которые никто не закрывает, в отличие от «дыр» в крупных операционных системах. Владельцы таких устройств ничего не замечают, для них оно работает как прежде. Норман занимался поиском таких уязвимостей, а Джа и Уайт создали механизм поиска устройств и распространения вредоносной программы. Скорость, с которой Mirai заражал устройства по всему миру, оказалась поразительной: за первые сутки работы ботнет насчитывал около 70 тысяч устройств, а потом вырос до 600 тысяч.

19 сентября 2016 года создатели Mirai впервые всерьез продемонстрировали мощь своего кибероружия и атаковали французского хостера OVH. Решение было чисто прагматическим: многие владельцы серверов для «Майнкрафта» платили OVH за защиту от DDoS-атак, а создатели Mirai хотели показать ненадежность сервиса и заработать, предлагая свои услуги. OVH ежедневно сталкивался с DDoS-атаками и умел от них эффективно защищаться, но перед Mirai спасовал и он. Ботнет из сотен тысяч устройств-зомби гнал более 1 терабита в секунду. Это в десятки раз больше, чем в крупнейших DDoS-атаках в прошлом. Mirai атаковал сразу всю сеть OVH, а не отдельные IP-адреса и сайты, что делало его еще более опасным.

Спустя несколько дней Mirai атаковал блог специалиста по компьютерной безопасности Брайана Кребса, который недавно писал о DDoS-атаке создателей Mirai. В итоге его сайт не работал четыре дня несмотря на то, что был защищен сервисом от подобных атак.

Еще чуть позже, в конце сентября, авторы Mirai выложили исходный код в открытый доступ — они хотели таким образом обезопасить себя от уголовного преследования, ведь когда исходный код доступен, пользоваться кибероружием может любой, а не только создатели. Уже после этого, 21 октября 2016 года, произошла крупнейшая в истории DDoS-атака. DNS-регистратор Dyn, который обеспечивает связь между тем, что вы вводите в строку браузера, и IP-адресом нужного вам сайта, упал под гнетом мусорного трафика. Вышел из строя сайт The New York Times, перестали работать Spotify, Twitter, Netflix и множество других сервисов и сайтов; в основном неполадки коснулись восточного побережья США. Кто именно атаковал Dyn, неизвестно до сих пор: это были не создатели Mirai, а кто-то, кто воспользовался исходным кодом программы.

Парас Джа после слушаний в Нью-Джерси, 13 декабря 2017 года

Dominick Reuter / Reuters / Scanpix / LETA

Поиском создателей Mirai занималось управление ФБР, расположенное на Аляске. Небольшая команда из четырех человек в Анкоридже специализировалась на ботнетах и DDoS-атаках в первую очередь потому, что малонаселенная Аляска сильно зависит от интернета, и перебои со связью могут привести к серьезным последствиям. Агенты заинтересовались тем фактом, что Mirai применялся против серверов «Майнкрафта», и что все известные атаки, случившиеся до публикации исходного кода, так или иначе были связаны с этой игрой. Сначала агенты были уверены, что нашли создателя Mirai во Франции: их поиски привели к компьютеру французского подростка, увлеченного аниме; он оказался невиновен.

В январе 2017-го Брайан Кребс предположил, что к созданию Mirai могут иметь отношение американцы Парас Джа и Джосиа Уайт. Его выводы подтвердила команда ФБР на Аляске, они же выяснили имя их сообщника. Как следует из выводов следствия, они все еще хотели заработать на своем создании, поэтому после DDoS-атак придумали ему другое применение. Хакеры создали ботнет из 100 тысяч устройств и заставляли их кликать на рекламные ссылки, имитируя поведение настоящих пользователей — и обманывая тем самым рекламодателей.

В пятницу, 8 декабря, Джа, Уайт и Норман признали вину в создании Mirai.

Две недели назад, в самом начале декабря, появился новый ботнет из подключенных к интернету устройств, созданный на основе когда Mirai. Он носит название Satori, за первые 12 часов работы заражены оказались четверть миллиона устройств (англ. яз.).

Wired

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.