7 декабря 2016 г.
В конце ноября неизвестные хакеры разослали в зашифрованном мессенджере Jabber предложение об аренде крупнейшего в мире ботнета Mirai. «Лента.ру» выяснила, кто может этим воспользоваться и во сколько обойдется самое мощное кибероружие в истории.
Атаки в аренду
Сообщения о возможности арендовать Mirai начали массово рассылать в Jabber двое неизвестных хакеров. Они утверждали, что контролируют ботнет из более чем 400 тысяч устройств и готовы не только предоставить к нему доступ, но и устроить краткосрочную демонстрацию для особо требовательных клиентов.
Среди адресатов рассылки оказались и анонимные специалисты по информационной безопасности, нередко публикующие инсайдерскую информацию о хакерах. Всего через пару дней они сообщили, что за предложением арендовать Mirai стоят злоумышленники под никами BestBuy и Popopret. Последний прославился еще 2015 году — его троян GovRAT вызвал большую головную боль у американских военных и правительственных организаций.
Хакер Popopret похитил данные 33 тысяч чиновников, а также работников оборонных предприятий и попытался продать их на популярном в Tor черном рынке TheRealDeal. Спецслужбы практически вычислили преступника, но он на время ушел в тень, а всего через пару месяцев выложил в сеть улучшенную версию трояна GovRAT 2.0.
BestBuy также причастен к разработке печально известного трояна, и эксперты уверены, что именно ему принадлежит идея создания Mirai. Для хакера гигантский ботнет — хороший пиар-повод, поэтому он охотно общается со СМИ и устраивает масштабные спам-рассылки в Jabber. Откликнувшимся на сообщения предлагается сразу несколько вариантов использования Mirai.
За две тысячи долларов клиент получит в распоряжение 25 тысяч устройств, с помощью которых сможет две недели проводить часовые DDoS-атаки с 15-минутными перерывами. За 20 тысяч долларов — «премиум-аккаунт» с 600 тысячами зараженных устройств.
Некоторые специалисты по безопасности усомнились в истинных возможностях хакеров, поскольку те отказались предоставить какие-либо доказательства работы Mirai, исходный код которого был опубликован на форумах разработчиков совсем другим злоумышленником с ником Anna-senpai.
В ответ BestBuy отметил, что он совместно с напарником смог добраться до ботнета задолго до остальных и уже модифицировал его специально для сдачи в аренду. В частности, они существенно расширили базу зараженных устройств, а также переработали брутфорсер (автоматический подборщик паролей) и добавили функции поиска уязвимостей «нулевого дня» — изначальных багов в устройствах, допущенных разработчиками.
Popopret же подчеркнул, что теперь у ботнета есть функция подмены и маскировки IP-адресов, что сделало его еще опаснее для потенциальных жертв.
Хроника преступлений
Первые слухи о Mirai возникли еще в середине 2016 года. По иронии судьбы, первым от него пострадал эксперт по интернет-безопасности Брайан Кребс, неоднократно предупреждавший о возможности создания гигантских ботнетов. Его сайт атаковали сотни тысяч устройств, и объем трафика достигал 660 гигабит в секунду. Специалист лишился поддержки своего хостинг-провайдера и признал ботнет «мощнейшим оружием современности».
Mirai отличается от предшественников не только своей мощью, но и принципом работы. Вместо того чтобы взламывать серверы и заставлять их генерировать «мусорные» запросы, хакеры берут под контроль как можно больше устройств интернета вещей. Первыми пали дорожные и веб-камеры, затем — умные холодильники, тостеры и кофеварки.
Производители никак не защитили бытовые приборы от взломов, и на большинстве из них установлены заводские настройки. Поэтому ботнет постоянно расширялся за счет знавшего 60 стандартных комбинаций логинов и паролей автоматизированного брутфорсера и протокола удаленного доступа Telnet.
Более того, гаджеты интернета вещей позволили злоумышленникам обманывать системы фильтрации трафика, доселе защищавшие компании от DDoS-атак. Дело в том, что зараженные устройства посылают жертве прямые и одиночные запросы, которые невозможно отследить и отсечь.
Звездный час Mirai настал 21 октября. С его помощью неизвестные повалили DNS-серверы хостинговой компании Dyn и на несколько часов отключили от интернета все восточное побережье США. DDoS-атакам подверглись Spotify, Ebay, Airbnb, Reddit и Twitter, а также десятки популярных СМИ, включая CNN и The Guardian.
Вскоре вероятный создатель ботнета Anna-senpai выложил его исходный код в сеть, и специалисты вздохнули с облегчением. Все были уверены, что хакеры-любители растащат Mirai на множество мелких сетей, и тот перестанет представлять угрозу. Так считал и MalwareTech, чей Twitter-аккаунт для отслеживания активности зараженных устройств убедил многих в отсутствии опасности.
Но всего через неделю все тот же MalwareTech встревоженно сообщил, что зарегистрировал невиданную по силе DDoS-атаку. «Трафик на моем трекере активности резко подскочил. У этих ребят больше ботов, чем у всех Mirai-ботнетов вместе взятых», — писал он. В этот раз хакеры отключили от интернета целую страну — Либерию. Ботнет под кодовым названием Shadows Kill взял под контроль 400 тысяч принадлежащих Mirai устройств, нарушил работу двух местных провайдеров и на несколько часов сеть рухнула.
Европа под огнем
Большинство экспертов сразу отметили, что удар по Либерии — лишь демонстрация возможностей Mirai для потенциальных арендаторов. И они не ошиблись — в конце ноября хакеры атаковали Deutsche Telekom. BestBuy и Popopret использовали свои наработки по брутфорсеру и попытались присоединить к Mirai 20 миллионов роутеров, но потерпели неудачу. Тем не менее они успели отключить миллион устройств и временно лишили интернета 900 тысяч немцев.
Через пару дней аналогичное нападение было совершено на британских провайдеров TalkTalk и Post Office, причем, по словам хакеров, это произошло случайно. BestBuy рассказал, что они тестировали новый Mirai-ботнет по имени Annie с улучшенным брутфорсером, и тот сам принялся взламывать роутеры англичан.
В итоге хакер принес компаниям извинения и между делом успел похвастаться, что теперь они с Popopret контролируют крупнейший в мире ботнет с 4,8 миллиона устройств. И это вселяет ужас, ведь отключить от сети половину Америки удалось с помощью всего лишь 100 тысяч зараженных холодильников и кофеварок.
Владимир Тодоров