ОтсюдаСоздатели ботнета Mirai теперь сражаются с преступностью на стороне ФБРТри подзащитных студента, стоявшие за ботнетом
Mirai – онлайн-инструментом, учинившим разрушения по всему интернету осенью 2016 при помощи мощнейших распределённых атак на отказ от обслуживания – в четверг предстанут перед судом на Аляске и попросят судью вынести новый приговор: они надеются на то, что их заставят работать на ФБР.
Джосайа Уайт, Парас Джа и Далтон Норман, каждому из которых было от 18 до 20 лет на момент создания и запуска Mirai, в декабре признали себя виновными в создании вредоносной программы. Ботнет, завладевший доступом к сотням тысяч устройств из «интернета вещей» и объединивший их в цифровую армию, начал своё существование в качестве инструмента для атаки вражеских хостеров игры Minecraft, но впоследствии вырос до онлайн-цунами из вредоносного трафика, вырубавшего целых провайдеров хостинга. На момент его появления в разгар обвинений «русских хакеров» во вмешательстве в американские выборы многие испугались, что появился неизвестный новый враг, собирающийся обрушить интернет.
Создатели, поняв, что их творение оказалось гораздо более мощным, чем они предполагали, запаниковали и выложили его исходный код – это стандартная тактика хакеров, надеющихся, что когда власти доберутся до них, у них не найдётся никакого кода, который не был бы доступен публично, и их нельзя будет легко обвинить в его создании. Публикация кода привела к другим атакам той осенью, в результате одной из которых большая часть интернета стала недоступна на восточном побережье США в один из дней октября.
Согласно судебным документам, правительство США рекомендует, чтобы каждый из этой троицы получил по пять лет условного срока и 2500 часов общественных работ.
Однако нюанс заключается в том, как именно правительство хочет, чтобы они отработали свой срок: «Далее, США просят Суд, по согласованию с комитетом о Пробации, определить общественные работы в виде постоянной работы с ФБР по борьбе с киберпреступлениями и обеспечению кибербезопасности», — говорится в меморандуме приговора.
В отдельном восьмистраничном документе правительство описывает, как за 18 месяцев с момента первого контакта ФБР с троицей, её члены активно работали с агентством и более широким сообществом специалистов по кибербезопасности, применяя компьютерные навыки к работе, не связанной с преступлениями. «Ещё до выдвижения обвинений обвиняемые занялись обширным и исключительным сотрудничеством с правительством США», — писали обвинители, говоря, что их сотрудничество «было примечательно как по масштабу, так и по последствиям».
Оказывается, что троица уже внесла свой вклад в более десяти различных операций, связанных с обеспечением правопорядка и безопасностью страны и всего мира. В одном случае они помогли частным исследователям в поисках хакерской группировки, источника «продвинутой и постоянной угрозы»; в другом они работали с ФБР перед предыдущим Рождеством для ослабления
DoS-атак. В судебных документах также содержатся упоминания о том, что троица работала под прикрытием в онлайне и офлайне, отправлялась в командировки для «тайного документирования действий субъектов, находящихся под следствием», и один раз даже работала с правоохранителями другой страны, чтобы «гарантировать использование подозреваемым компьютера в момент выполнения обыска».
Правительство считает, что троица в сумме уже наработала более 1000 часов, помогая агентству, что эквивалентно полугодичному стажу работы.
В этом году обвиняемые работали с ФБР на Аляске, чтобы остановить новую версию DoS, известную, как Memcache, использующую легитимный интернет-протокол, предназначенный для ускорения загрузки веб-сайтов, для перегрузки сайтов отправкой постоянных запросов. Этот малоизвестный протокол был уязвим, в частности, потому, что на многих серверах отсутствовала авторизация, что делало их незащищёнными перед атаками.
В судебных документах описывается, как Норман, Джа и Уайт в марте рьяно принялись за дело, когда атаки начали распространяться в интернете, работали вместе с ФБР и индустрией безопасности над определением подверженных атаке серверов. Затем ФБР связывалось с компаниями и производителями, способными пострадать от этих атак, чтобы помочь смягчить их удар. «Благодаря быстрой работе обвиняемых, объёмы и частота атак Memcache DoS были уменьшены в течение нескольких недель, атаки стали функционально бесполезными, а их объём представлял собой малую долю того, что было изначально», — написано в отчёте обвинителей.
Интересно, что область работы троицы на правительство не была ограничена предотвращением DoS-атак. Обвинители описывают объёмную работу по программированию, проделанную обвиняемыми, включая создание программы для облегчения отслеживания криптовалют и связанных с ней частных ключей в различных валютах. Подробностей о программе в судебных документах не было, но, согласно отчёту, программа принимает на вход различные данные из блокчейнов криптовалют, и переводит их в графический вид, что помогает следователям анализировать подозрительные онлайн-кошельки. «Эта программа и её возможности, созданные при помощи обвиняемых, может серьёзно уменьшить время, которое требуется представителям правоохранительных органов на проведение анализа транзакций, поскольку программа автоматически определяет путь выбранного кошелька», — написано в отчёте.
Согласно источникам, приближенным к делу, расследование Mirai предоставило уникальную возможность походатайствовать за подзащитных, продемонстрировавших прекрасное владение компьютерами, отвлекшее их от нарушений закона и привлекшее на сторону законной деятельности в области компьютерной безопасности.
Правительство указывает на незрелость троицы в своих рекомендациях по вынесению приговора, отмечая «разницу между их онлайн-имиджем, где они были важными, известными и злонамеренными хакерами в области криминальных DoS-атак, и их сравнительно скучными реальными жизнями, в которых они были никому неизвестными, незрелыми молодыми людьми, живущими с родителями». Никого из них до этого не обвиняли в преступлениях, и правительство отмечает попытки всех троих «в позитивном профессиональном и образовательном развитии, проходящем с переменным успехом». Как отмечено в отчёте, «именно отсутствие прогресса в описанных областях и подвигло обвиняемых к криминальным действиям, обсуждаемым здесь».
В отдельном примечании юрист Джосайи Уайта, в год запуска Mirai проходишего домашнее обучение и получившего диплом об окончании Пенсильванской кибершколы, объясняет: «Он совершил ошибку, принял неверное решение, но затем превратил её в весьма полезные действия для правительства и в систему обучения для самого себя».
После поимки создателей Mirai правительство надеется перенаправить их на более продуктивный жизненный путь – начиная с 2500 часов работы совместно с ФБР, специалистами по безопасности и инженерами. Как писали обвинители: «У всех троих будут хорошие перспективы по обучению и трудоустройству, если они решат воспользоваться ими, вместо того, чтобы продолжать заниматься криминалом». Это должно вылиться примерно в целый год работы на ФБР на полный день, который, вероятно, будет разбит на пять лет условного срока.