Творці ботнету Mirai тепер борються зі злочинністю на стороні ФБР
Три підзахисних студента, що стояли за ботнетом Mirai – онлайн-інструментом, що вчинив руйнування по всьому інтернету восени 2016 за допомогою найпотужніших розподілених атак на відмову від обслуговування – у четвер постануть перед судом на Алясці і попросять суддю винести новий вирок: вони сподіваються на те, що їх змусять працювати на ФБР.
Джосайа Уайт, Парас Джа і Далтон Норман, кожному з яких було від 18 до 20 років на момент створення і запуску Mirai, в грудні визнали себе винними в створенні шкідливої програми. Ботнет, який заволодів доступом до сотень тисяч пристроїв з «інтернету речей» і об’єднав їх в цифрову армію, почав своє існування в якості інструменту для атаки ворожих хостерів гри Minecraft, але згодом виріс до онлайн-цунамі з шкідливого трафіку, вырубавшего цілих провайдерів хостингу. На момент його появи в розпал звинувачень «російських хакерів» у втручанні в американські вибори багато злякалися, що з’явився невідомий новий ворог, що збирається зруйнувати інтернет.
Творці, зрозумівши, що їх творіння виявилося набагато більш потужним, ніж вони припускали, запанікували і виклали його вихідний код – це стандартна тактика хакерів, які сподіваються, що коли влада доберуться до них, у них не знайдеться жодного коду, який не був би доступний публічно, і їх можна буде легко звинуватити в його створенні. Публікація коду призвела до інших атак тієї осені, в результаті одного з яких більша частина інтернету стала недоступна на східному узбережжі США в один із днів жовтня.
Згідно з судовими документами, уряд США рекомендує, щоб кожен з цієї трійки отримав по п’ять років умовного терміну і 2500 годин громадських робіт.
Однак нюанс полягає в тому, як саме уряд хоче, щоб вони відпрацювали свій термін: «Далі, США просять Суд, за погодженням з комітетом про Пробацію, визначити громадські роботи у вигляді постійної роботи з ФБР по боротьбі з кіберзлочинами і забезпечення кібербезпеки», — йдеться в меморандумі вироку.
В окремому восьмистраничном документі уряд описує, як за 18 місяців з моменту першого контакту ФБР з трійцею, її члени активно працювали з агентством і більш широким спільнотою фахівців з кібербезпеки, застосовуючи комп’ютерні навички до роботи, не пов’язаної зі злочинами. «Ще до висунення звинувачень обвинувачені зайнялися великим і винятковим співпрацею з урядом США», — писали обвинувачі, кажучи, що їх співробітництво «було примітно як за масштабом, так і за наслідками».
Виявляється, що трійця уже внесла свій внесок у понад десяти різних операцій, пов’язаних із забезпеченням правопорядку та безпекою країни і всього світу. В одному випадку вони допомогли приватним дослідникам у пошуках хакерського угруповання, джерела «просунутої та постійної загрози»; в іншому вони працювали з ФБР перед попереднім Різдвом для ослаблення DoS-атак. У судових документах також містяться згадки про те, що трійця працювала під прикриттям в онлайні і офлайні, відправлялася у відрядження для таємного документування дій суб’єктів, що перебувають під слідством», і один раз навіть працювала з правоохоронцями іншої країни, щоб «гарантувати використання підозрюваним комп’ютера в момент виконання обшуку».
Уряд вважає, що трійця в сумі вже напрацювала більше 1000 годин, допомагаючи агентству, що еквівалентно піврічного стажу роботи.
В цьому році обвинувачені працювали з ФБР на Алясці, щоб зупинити нову версію DoS, відому, як Memcache, що використовує легітимний інтернет-протокол, призначений для прискорення завантаження веб-сайтів, для перевантаження сайтів відправкою постійних запитів. Цей маловідомий протокол був вразливий, зокрема, тому, що на багатьох серверах відсутня авторизація, що робило їх незахищеними перед атаками.
У судових документах описується, як Норман, Джа і Уайт у березні завзято взялися за справу, коли атаки почали поширюватися в інтернеті, працювали разом з ФБР і індустрією безпеки над визначенням слабких до атаки серверів. Потім ФБР пов’язувалося з компаніями і виробниками, здатними постраждати від цих атак, щоб допомогти пом’якшити їхній удар. «Завдяки швидкій роботі обвинувачених, обсяги та частота атак Memcache DoS були зменшені протягом декількох тижнів, атаки стали функціонально марними, а їх обсяг представляв собою малу частку того, що було спочатку», — написано у звіті обвинувачів.
Цікаво, що область роботи трійці на уряд не була обмежена запобіганням DoS-атак. Обвинувачі описують об’ємну роботу з програмування, виконану обвинуваченими, включаючи створення програми для полегшення відстеження криптовалют і пов’язаних з нею приватних ключів у різних валютах. Подробиць про програму в судових документах не було, але, згідно зі звітом, програма приймає на вхід різні дані з блокчейнів криптовалют, і переводить їх в графічний вигляд, що допомагає слідчим аналізувати підозрілі онлайн-гаманці. «Ця програма і її можливості, створені за допомогою обвинувачених, може серйозно зменшити час, який потрібен представникам правоохоронних органів на проведення аналізу транзакцій, оскільки програма автоматично визначає шлях вибраного гаманця», — написано у звіті.
Відповідно до джерел, наближених до справи, розслідування Mirai надало унікальну можливість поклопотатися за підзахисних, продемонстрували чудове володіння комп’ютерами, відволікше їх від порушень закону і було залучено на бік законній діяльності в області комп’ютерної безпеки.
Уряд вказує на незрілість трійки в своїх рекомендаціях щодо винесення вироку, відзначаючи «різницю між онлайн-іміджем, де вони були важливими, відомими і зловмисними хакерами в області кримінальних DoS-атак, і їх порівняно нудними реальними життями, в яких вони були нікому невідомими, незрілими молодими людьми, що живуть з батьками». Нікого з них до цього не звинувачували у злочинах, і уряд зазначає спроби всіх трьох «в позитивному професійному та освітньому розвитку, що проходить з перемінним успіхом». Як зазначено у звіті, «саме відсутність прогресу в описаних областях і спонукало обвинувачених до кримінальних дій, обговорюваних тут».
В окремій примітці юрист Джосайи Уайта, в рік запуску Mirai обвинувачений проходив домашнє навчання і отримав диплом про закінчення Пенсильванської кібершколи, пояснює: «Він зробив помилку, прийняв неправильне рішення, але потім перетворив її в дуже корисні дії для уряду і в систему навчання для самого себе».
Після упіймання творців Mirai уряд сподівається перенаправити їх на більш продуктивний життєвий шлях – починаючи з 2500 годин роботи спільно з ФБР, фахівцями з безпеки та інженерами. Як писали обвинувачі: «У всіх трьох будуть хороші перспективи навчання та працевлаштування, якщо вони вирішать скористатися ними, замість того, щоб продовжувати займатися криміналом». Це має вилитися приблизно в цілий рік роботи на ФБР на повний день, який, ймовірно, буде розбитий на п’ять років умовного терміну.
Цікаво, що в судових документах описується поточна робота обвинувачених над іншими випадками застосування DoS-атак, і сказано, що офіс ФБР на Алясці продовжує розслідування щодо безлічі груп, які відповідають за великомасштабні DoS-атаки, і прагне продовжити роботу з обвинуваченими».
Невеликий кіберзагін ФБР у місті Анкорідж з’явився нещодавно, і за останні кілька років став головним загоном по боротьбі з ботнетами; тільки минулого тижня керівник підрозділу Вільям Уолтон прибув до Вашингтона для отримання нагороди за роботу над справою Mirai з рук директора ФБР – однієї з найвищих нагород агентства. На тому ж тижні творець ботнету Kelihos, російський хакер Петро Левашов, визнав свою провину в суді Коннектикуту по іншій справі, також працюючи спільно з підрозділом ФБР з Анкоріджа і кібервідділом з Нью-Хейвена. Судячи з судових документів, обвинувачені у справі Mirai доклали свою руку до цього ботнету, допомагаючи розробляти сценарії, визначали жертв Kelihos після несподіваного захоплення агентством контролю над ботнетом та арешту Левашова в Іспанії в минулому квітні.
Розслідування справи Mirai, яким керували агенти Елліот Пітерсон і Даг Кляйн, цікавим чином відгукнулося в іншій справі Пітерсона. У 2014 році агент керував винесенням обвинувального акта Євгену Богачеву, одного з найбільш розшукуваних кіберзлочинців у списку ФБР, який нібито зробив безліч фінансових злочинів допомогою ботнету GameOver Zeus. У тому випадку слідчі визначили, що Богачов – жив в Анапі – стоїть за безліччю версій шкідливого ПО, відомого як Zeus, улюбленого засобу для хакерських атак в цифровому підпілля. Щось на зразок Microsoft Office для онлайн-шахрайства. ФБР роками полювало за Богачевим по кількох справах, в той час, як він розробляв нові, вдосконалені версії. В 2014 році, під час розшукових заходів, пов’язаних з GameOver Zeus, слідчі вирішили, що Богачов співпрацює з російською розвідкою, щоб звернути можливості ботнету на збір розвідданих, і розшукувати на заражених комп’ютерах секретну інформацію в таких країнах, як Туреччина, Україна і Грузія.
Справа GameOver Zeus було одним з ранніх прикладів поширених нині випадків того, як російські злочинці співпрацюють з російськими спецслужбами. В подібному випадку, про який стало відомо в минулому році, уряд США описало, як добре відомий російський хакер Олексій Бєлан працював з двома представниками російських спецслужб над зломом Yahoo. Розмиття лінії, що розділяє онлайн-злочинців і спецслужби Росії стало ключовим фактором у перетворенні країни в державу, не визнає міжнародних норм, найсвіжішим прикладом чого став запуск здирницького вірусу NotPetya.
На Алясці в залі суду ФБР запропонує свою версію того, як уряд може підходити до вирішення подібної проблеми. Воно теж з радістю освоює експертний досвід хакерів-злочинців, спійманих в межах країни. Але спочатку воно змушує їх припинити кримінальну діяльність, а потім обертає їх вміння працювати з комп’ютером на збереження безпеки і здоров’я глобального інтернету.