Mirai Botnet faisait partie d'un programme Minecraft pour étudiants universitaires – Resoudre les problemes d’un serveur MineCraft

Le plus dramatique L’histoire de la cybersécurité en 2016 s’achève tranquillement vendredi dans une salle d’audience d’Anchorage, alors que trois jeunes américains informatiques savaient plaider coupables d’avoir organisé un botnet sans précédent, alimenté par des dispositifs Internet sécurisés tels que des caméras de sécurité et des routeurs sans fil, qui ont déclenché des attaques sans précédent. services Internet clés dans le monde entier l'automne dernier. Ce qui les a motivés n’est pas la politique anarchiste ni les liens ténébreux avec un État-nation. C'était Minecraft.

C'était une histoire difficile à rater l'année dernière: en France en septembre dernier, le fournisseur de télécommunications OVH a été frappé par une attaque par déni de service (DDoS) cent fois plus grande que la plupart de ses concurrents. Puis, un vendredi après-midi d’octobre 2016, Internet a ralenti ou s’est arrêté presque dans tout l’est des États-Unis, alors que la société de technologie Dyn, élément clé de la colonne vertébrale d’Internet, a subi un assaut paralysant.

À l'approche de l'élection présidentielle américaine de 2016, on craint de plus en plus que le botnet Mirai ne soit l'œuvre d'un État-nation pratiquant une attaque qui paralyserait le pays alors que les électeurs se rendaient aux urnes. La vérité, comme cela a été clairement établi dans la salle d'audience de l'Alaska vendredi – et non dévoilée mercredi par le ministère de la Justice – était encore plus étrange: le cerveau derrière Mirai était un étudiant de 21 ans de Rutgers, originaire de la banlieue du New Jersey, et ses deux amis collégiens de l'extérieur de Pittsburgh et de la Nouvelle-Orléans. Tous les trois – Paras Jha, Josiah White et Dalton Norman, respectivement – ont reconnu leur rôle dans la création et le lancement de Mirai dans le monde.

Selon les procureurs, à l’origine, les accusés n’avaient pas l’intention de faire tomber Internet, ils essayaient d’avoir un avantage dans le jeu vidéo. Minecraft.

"Ils ne réalisaient pas le pouvoir qu'ils libéraient", a déclaré l'agent spécial de supervision du FBI, Bill Walton. "C'était le projet Manhattan."

La découverte de l'un des plus grands problèmes de sécurité d'Internet en 2016 a conduit le FBI à un étrange voyage dans le marché souterrain des attaques DDoS, l'incarnation moderne d'un ancien racket de protection de la mafia du quartier, où les personnes offrant l'aide aujourd'hui ceux qui vous ont attaqué hier.

Ensuite, une fois que le FBI a résolu l'affaire, ils ont découvert que leurs auteurs étaient déjà passés à un nouveau stratagème – inventant un modèle commercial pour le crime en ligne que personne n'avait encore vu auparavant, et indiquant une nouvelle menace imminente pour les réseaux de zombies.

Les premières rumeurs En août 2016, un agent important du FBI, Elliott Peterson, faisait partie d'une équipe d'investigation multinationale qui tentait de cibler deux adolescents exécutant un service d'attaque pour le compte de DDoS, appelé vDOS. C'était une enquête majeure – ou du moins, cela semblait être le cas à l'époque.

"Ils ne se sont pas rendu compte du pouvoir qu’ils libéraient."

Bill Walton, FBI

VDOS était un réseau de bot sophistiqué: un réseau de périphériques zombies infectés par des logiciels malveillants que ses maîtres pouvaient commander pour exécuter des attaques DDoS à volonté. Et les adolescents l'utilisaient pour exécuter une version lucrative d'un système alors commun dans le monde du jeu en ligne – un service dit de démarrage, destiné à aider les joueurs individuels à attaquer un adversaire tout en se battant en face à face. les vaincre. Ses dizaines de milliers de clients pourraient débourser de petits montants, comme entre 5 et 50 dollars US, pour louer des attaques par déni de service à petite échelle via une interface Web conviviale.

Pourtant, à mesure que l'affaire se poursuivait, les enquêteurs et la petite communauté d'ingénieurs en sécurité qui protègent contre les attaques par déni de service ont commencé à entendre des rumeurs sur un nouveau réseau de zombies, qui a finalement fait paraître vDOS petit.

Lorsque Peterson et ses collègues du secteur, tels que Cloudflare, Akamai, Flashpoint, Google et Palo Alto Networks, ont commencé à étudier le nouveau logiciel malveillant, ils se sont rendu compte qu'ils cherchaient à quelque chose de totalement différent de ce qu'ils avaient combattu dans le passé. Alors que le botnet vDOS qu’ils poursuivaient était une variante d’une armée de zombies plus ancienne, un botnet de 2014 connu sous le nom de Qbot, ce nouveau botnet semblait avoir été écrit à la base.

Et c'était bien.

«Dès les premières attaques, nous avons réalisé qu'il s'agissait de quelque chose de très différent de votre DDoS habituel», déclare Doug Klein, le partenaire de Peterson dans cette affaire.

Le nouveau logiciel malveillant a analysé Internet pour rechercher des dizaines de périphériques IoT qui utilisaient toujours le paramètre de sécurité par défaut du fabricant. Comme la plupart des utilisateurs changent rarement de noms d’utilisateur ou de mots de passe par défaut, il est rapidement devenu un puissant ensemble de composants électroniques, qui ont presque tous été piratés à l’insu de leurs propriétaires.

«Le secteur de la sécurité n'était vraiment conscient de cette menace que vers la mi-septembre. Tout le monde faisait du rattrapage », dit Peterson. «C’est vraiment puissant: ils ont découvert comment assembler plusieurs exploits avec plusieurs processeurs. Ils ont franchi le seuil artificiel de 100 000 robots contre lequel d'autres avaient vraiment lutté. "

L’incident n’a pas tardé à passer de vagues rumeurs à l’alerte mondiale.

Mirai a choqué Internet – et ses propres créateurs, selon le FBI – avec son pouvoir grandissant. Les chercheurs ont par la suite déterminé qu’il avait infecté près de 65 000 appareils au cours de ses 20 premières heures, doublé de taille toutes les 76 minutes, et qu’il avait finalement créé une force soutenue se situant entre 200 000 et 300 000 infections.

"Ces enfants sont très intelligents, mais ils n’ont rien fait de haut niveau, ils ont juste eu une bonne idée", dit Walton du FBI. "C’est le botnet IoT le plus performant que nous ayons jamais vu – et un signe que la criminalité informatique n’est plus seulement des ordinateurs de bureau."

En ciblant des produits électroniques bon marché avec une sécurité insuffisante, Mirai a acquis une grande partie de sa force en infectant des dispositifs en Asie du Sud-Est et en Amérique du Sud. Les chercheurs ont indiqué que les quatre principaux pays infectés par Mirai étaient le Brésil, la Colombie, le Vietnam et la Chine. Comme le concluait sèchement une équipe de professionnels de la sécurité: «Certains des principaux fabricants mondiaux d’électronique grand public ne disposaient pas de mesures de sécurité suffisantes pour atténuer les menaces telles que Mirai.»

À son apogée, le ver informatique auto-réplicable avait réduit en esclavage quelque 600 000 appareils dans le monde – ce qui, combiné aux connexions haut débit haut débit d’aujourd’hui, lui a permis d’exploiter un flot sans précédent de trafic saturant le réseau contre des sites Web cibles. Il était également particulièrement difficile pour les entreprises de lutter contre ce problème et de le réparer, car le botnet utilisait une variété de trafics néfastes différents pour submerger sa cible, attaquant à la fois les serveurs et les applications exécutées sur les serveurs, ainsi que des techniques encore plus anciennes presque oubliées dans le monde moderne. Attaques DDoS.

Personne ne savait encore qui étaient ses créateurs ni ce qu'ils essayaient d'accomplir.

Le 19 septembre 2016, le botnet a été utilisé pour lancer des attaques DDoS écrasantes contre le fournisseur d'hébergement français OVH. Comme toute grande société d’hébergement, OVH a régulièrement assisté à de petites attaques DDoS — elle a ensuite noté qu’elle se heurtait normalement à 1 200 personnes par jour — mais l’attaque Mirai était unique en son genre, la première bombe thermonucléaire du monde des attaques DDoS. dépassement de 1,1 terabits par seconde car plus de 145 000 périphériques infectés ont bombardé OVH avec un trafic indésirable. CTO de la société tweeté sur les attaques par la suite pour avertir les autres de la menace imminente.

Jusque-là, on considérait souvent qu'une attaque DDoS de 10 à 20 gigibits par seconde était importante; Le vDOS avait été une cible écrasante avec des attaques de l'ordre de 50 Gbps. Une attaque de suivi de Mirai contre OVH a atteint environ 901 Gbps.

Selon des documents judiciaires, Mirai était particulièrement meurtrière, car elle était capable de cibler toute une gamme d’adresses IP, et pas seulement un serveur ou un site Web, ce qui lui permettait d’écraser l’ensemble du réseau d’une entreprise.

«Mirai était une puissance de feu insensée», dit Peterson. Et personne ne savait encore qui étaient ses créateurs ni ce qu'ils essayaient d'accomplir.

Normalement, les entreprises luttent contre les attaques DDoS en filtrant le trafic Web entrant ou en augmentant leur bande passante, mais à l’échelle opérée par Mirai, presque toutes les techniques d’atténuation des attaques DDoS traditionnelles se sont effondrées, en partie parce que le raz-de-marée du trafic néfaste ferait planter de nombreux sites et serveurs sur la route. à son objectif principal. «Les DDOS à une certaine échelle représentent une menace existentielle pour Internet», a déclaré Peterson. "Mirai a été le premier botnet que j'ai vu à atteindre ce niveau existentiel."

Jusqu'en septembre, les inventeurs de Mirai ont peaufiné leur code (les chercheurs ont par la suite pu assembler 24 versions du logiciel malveillant qui semblait principalement être le travail des trois principaux accusés), à mesure que le logiciel malveillant devenait plus sophistiqué et virulent. Ils ont activement combattu les pirates informatiques derrière le système vDOS, luttant pour le contrôle des périphériques IoT et en instituant des procédures d'abattage pour éliminer les infections concurrentes des périphériques compromis – la sélection naturelle se déroulant à la vitesse de l'internet. Selon des documents judiciaires, ils ont également déposé des plaintes pour abus frauduleux auprès d'hôtes Internet associés à vDOS.

«Ils essayaient de se dépasser mutuellement. Mirai les surpasse tous », déclare Peterson. "Ce crime évoluait à travers la concurrence."

Quiconque se trouvait derrière Mirai s'en vantait même sur les tableaux d'affichage des hackers; Quelqu'un utilisant le surnom de Anna-senpai a prétendu en être le créateur et un dénommé ChickenMelon en a également parlé, suggérant que leurs concurrents pourraient utiliser des logiciels malveillants de la NSA.

Quelques jours après OVH, Mirai a encore frappé, cette fois contre une cible technologique de premier plan: le journaliste de sécurité Brian Krebs. Le botnet a saccagé le site Web de Krebs, Krebs on Security, le mettant hors ligne pendant plus de quatre jours avec une attaque atteignant un pic de 623 Gbps. L’assaut a été si efficace – et soutenu – qu’Akamai, l’un des plus importants fournisseurs de bande passante du Web, a annoncé qu’il abandonnerait le site de Krebs, faute de pouvoir supporter le coût d’une défense aussi massive. barrage. Akamai a déclaré que l'attaque de Krebs était deux fois plus grande que la plus grande attaque jamais vue auparavant.

Alors que l'attaque d'OVH à l'étranger avait été une curiosité en ligne, l'attaque de Krebs a rapidement poussé le botnet Mirai au premier plan du FBI, d'autant plus qu'il semblait probable qu'il s'agissait d'une rétribution pour un article que Krebs avait publié quelques jours auparavant au sujet d'une autre société d'atténuation des attaques DDoS qui semblait s’être engagé dans des pratiques néfastes, détournant des adresses Web qui, à son avis, étaient contrôlées par l’équipe vDOS.

«C'est un développement étrange: un journaliste est réduit au silence parce que quelqu'un a mis au point un outil suffisamment puissant pour le faire taire», a déclaré Peterson. "C'était inquiétant."

Les attaques IoT ont commencé à faire les gros titres en ligne et hors ligne; Selon des reportages médiatiques et des experts en sécurité, Mirai pourrait avoir les empreintes digitales d’une attaque imminente sur l’infrastructure centrale d’Internet.

«Quelqu'un a enquêté sur les défenses des entreprises qui gèrent des éléments critiques d’Internet. Ces sondes prennent la forme d'attaques précisément calibrées, conçues pour déterminer dans quelle mesure ces entreprises peuvent se défendre et savoir ce qui serait nécessaire pour les éliminer », a écrit l'expert en sécurité Bruce Schneier en septembre 2016.« Nous ne savons pas qui fait cela, mais cela ressemble à un grand État-nation. La Chine ou la Russie seraient mes premières suppositions. "

Dans les coulisses, le FBI et des chercheurs du secteur ont cherché à démêler Mirai et à cibler ses auteurs. Des sociétés de réseau comme Akamai ont créé des pots de miel en ligne, imitant les périphériques piratés, afin d’observer comment les périphériques «zombies» infectés communiquaient avec les serveurs de commande et de contrôle de Mirai. Alors qu'ils commençaient à étudier les attaques, ils ont remarqué que de nombreux assauts Mirai semblaient viser des serveurs de jeux. Peterson se rappelle avoir demandé: «Pourquoi ces Minecraft les serveurs sont-ils frappés si souvent?

La question serait menez l’enquête dans l’un des mondes les plus étranges de l’Internet, un jeu à 27 $ avec une population en ligne d’utilisateurs inscrits – 122 millions – plus grande que l’ensemble du pays, l’Égypte. Les analystes du secteur rapportent que 55 millions de personnes jouent Minecraft chaque mois, avec un million en ligne à tout moment.

Le jeu, un bac à sable en trois dimensions sans objectifs particuliers, permet aux joueurs de construire des mondes entiers en "exploitant" et en construisant avec des blocs pixélisés caricaturaux. Son attrait visuel relativement basique – il a plus de points communs avec les jeux vidéo de première génération des années 1970 et 1980 que la luxure polygonale intense de Halo ou Assassin’s Creed—C'est un profondeur d'exploration imaginative et d'expérimentation qui l'a propulsé au deuxième rang des jeux vidéo les plus vendus, derrière seulement Tetris. Le jeu et ses mondes virtuels ont été acquis par Microsoft en 2014 dans le cadre d'un contrat de près de 2,5 milliards de dollars. Il a généré de nombreux sites de fans, wikis explicatifs et tutoriels sur YouTube, y compris une collection réelle de Minecraftbriques Lego à thème.

Ils essayaient de se surmener les uns les autres. Mirai les surpasse tous.

Elliott Peterson, FBI

Il est également devenu une plate-forme lucrative pour Minecraft entrepreneurs: dans le jeu, des serveurs hébergés individuels permettent aux utilisateurs de se lier en mode multijoueur. Au fur et à mesure que le jeu grandissait, l'hébergement de ces serveurs est devenu une grosse affaire. Les joueurs paient de l'argent réel soit pour louer un espace, Minecraft ainsi que l'achat d'outils dans le jeu. Contrairement à de nombreux jeux multijoueurs massifs dans lesquels chaque joueur expérimente le jeu de la même manière, ces serveurs individuels font partie intégrante du système. Minecraft expérience, chaque hôte pouvant définir des règles différentes et installer différents plug-ins pour façonner et personnaliser subtilement l'expérience utilisateur; Un serveur particulier, par exemple, pourrait ne pas permettre aux joueurs de détruire leurs créations respectives.

Comme Peterson et Klein ont exploré la Minecraft d’économie, en interviewant des hôtes de serveur et en examinant des registres financiers, ils ont réalisé à quel point un succès financier incroyable Minecraft le serveur pourrait être. «Je suis allé dans le bureau de mon patron et j’ai dit:« Suis-je fou? On dirait que les gens gagnent beaucoup d’argent », se souvient-il. «Au plus fort de l'été, ces personnes gagnaient 100 000 dollars par mois.»

Les revenus énormes générés par les serveurs performants ont également donné naissance à une mini-industrie artisanale consistant à lancer des attaques DDoS sur les serveurs de ses concurrents, dans le but de chasser les joueurs frustrés par une connexion lente. (Il existe même des tutoriels YouTube spécialement conçus pour enseigner Minecraft DDoS et outils DDoS gratuits disponibles sur Github.) De même, Minecraft Les services d'atténuation des attaques DDoS sont apparus comme un moyen de protéger l'investissement d'un serveur hôte.

La course aux armements numériques dans DDoS est inexorablement liée à Minecraft, Dit Klein.

"Nous voyons tant d'attaques sur Minecraft. Je serais parfois plus surpris de ne pas voir un Minecraft connexion dans une affaire DDoS », dit-il. «Vous regardez les serveurs. Ces gars gagnent beaucoup d’argent. C’est pour moi un avantage de mettre votre serveur hors service et de voler vos clients. La grande majorité de ces Minecraft les enfants sont gérés par des enfants – vous ne disposez pas nécessairement du jugement commercial astucieux dans les "cadres" guillemets qui exploitent ces serveurs. "

En fait, l’hôte Internet français OVH était réputé pour offrir un service appelé VAC, l’un des meilleurs Minecraft Outils d'atténuation des attaques DDoS. Les auteurs de Mirai l'ont attaqué non pas dans le cadre d'un complot grandiose, mais plutôt pour saper la protection qu'il offrait. Minecraft les serveurs. «Pendant un certain temps, OVH était trop, mais ils ont ensuite découvert comment même battre OVH», a déclaré Peterson.

C'était quelque chose de nouveau. Alors que les joueurs se familiarisaient avec les attaques DDoS ponctuelles de services d'amorçage, l'idée de DDoS en tant que modèle commercial pour les hôtes de serveur était surprenante. «C’était une décision commerciale calculée d’arrêter un concurrent», déclare Peterson.

«Ils sont simplement devenus avides. Ils se sont dit:« Si nous pouvons vaincre nos concurrents, nous pouvons conquérir le marché à la fois sur les serveurs et sur les mesures d’atténuation », déclare Walton.

En fait, selon des documents judiciaires, le principal moteur de la création originale de Mirai était de créer "une arme capable de lancer de puissantes attaques par déni de service contre des concurrents et d'autres personnes contre lesquelles White et ses coconspirateurs tenaient à cœur."

Une fois que les enquêteurs ont su quoi chercher, ils ont trouvé Minecraft des liens partout dans Mirai: dans une attaque peu remarquée juste après l'incident d'OVH, le botnet avait ciblé ProxyPipe.com, une société de San Francisco spécialisée dans la protection Minecraft serveurs contre les attaques DDoS.

«À l’origine, Mirai a été développé pour les aider à prendre les devants. Minecraft marché, mais ils ont alors réalisé qu’ils avaient construit un outil puissant », déclare Walton. «C’est alors devenu un défi pour eux de le faire aussi grand que possible.»

Le 30 septembre 2016, à la suite de l’attention du public à la suite de l’attaque de Krebs, le fabricant de Mirai a publié le code source du programme malveillant sur le site Web Hack Forum, dans le but de détourner les soupçons éventuels s’il se faisait prendre. La version incluait également les informations d'identification par défaut pour 46 périphériques IoT, éléments essentiels de sa croissance. (Les auteurs de logiciels malveillants publient parfois leur code en ligne sur des traces boueuses des enquêteurs, garantissant que même s’ils sont avérés posséder le code source, les autorités ne peuvent pas nécessairement les identifier en tant qu’auteur original.)

Cette version a ouvert l'outil à un large public, les groupes concurrents de DDoS l'ont adopté et créé leurs propres réseaux de zombies. Au total, sur une période de cinq mois allant de septembre 2016 à février 2017, des variantes de Mirai ont été à l'origine de plus de 15 194 attaques par DDoS, selon un compte rendu publié par la suite en août.

Au fur et à mesure que les attaques se propageaient, le FBI collaborait avec des chercheurs du secteur privé pour mettre au point des outils leur permettant de surveiller les attaques DDoS au fur et à mesure de leur déroulement et de localiser le trafic détourné – l'équivalent en ligne du système Shotspotter utilisé par les services de police urbains détecter l'emplacement des coups de feu et se disperser en cas de problème. Grâce aux nouveaux outils, le FBI et le secteur privé ont pu voir se dérouler une attaque imminente de type DDoS et aider à la limiter en temps réel. «Nous dépendions vraiment de la générosité du secteur privé», a déclaré Peterson.

La décision d'ouvrir la source Mirai a également conduit à son attaque la plus en vue. Selon le FBI, Jha, White et Dalton n’étaient pas responsables du DDoS du serveur de noms de domaine Dyn d’octobre dernier, un élément essentiel de l’infrastructure Internet qui aide les navigateurs Web à traduire les adresses écrites, telles que Wired.com, en adresses IP numérotées spécifiques en ligne. (Le FBI a refusé de commenter l'enquête Dyn; aucune arrestation n'a été rapportée publiquement dans cette affaire.)

«Je serais parfois plus surpris de ne pas voir un Minecraft connexion dans une affaire DDoS.

Doug Klein, FBI

L'attaque Dyn a paralysé des millions d'utilisateurs d'ordinateurs, ralentissant ou arrêtant les connexions Internet sur la côte est et interrompant le service en Amérique du Nord et dans certaines parties de l'Europe vers des sites majeurs tels qu'Amazon, Netflix, Paypal et Reddit. Dyn a par la suite annoncé qu'il ne pourrait jamais être en mesure de calculer le poids total de l'assaut auquel il a été confronté: «Des rapports d'une magnitude de l'ordre de 1,2 Tbps ont été rapportés. pour l'instant, nous ne pouvons pas vérifier cette affirmation. "

Justin Paine, directeur de la confiance et de la sécurité de Cloudflare, l’une des principales sociétés de réduction des attaques DDoS du secteur, indique que l’attaque Dyn de Mirai a immédiatement attiré l’attention des ingénieurs d’Internet. «Lorsque Mirai est vraiment venu sur la scène, les personnes qui gèrent Internet dans les coulisses, nous nous sommes tous rassemblés», a-t-il déclaré. «Nous avons tous compris que ce n'est pas quelque chose qui affecte uniquement mon entreprise ou mon réseau. Internet entier à risque. Dyn a affecté l'internet tout entier.

«Le concept d'appareils non sécurisés destinés à être réutilisés par des méchants pour faire de mauvaises choses, ça a toujours été le cas», dit Paine, «mais l'ampleur même des modems, des enregistreurs vidéo numériques et des webcams non sécurisés, combinée au fait horriblement peu sécurisé qu'ils étaient en tant qu'appareil fait un cadeau avec un type de défi différent. "

Le secteur de la technologie a commencé à partager intensivement les informations, à la fois pour atténuer les attaques en cours, pour effectuer un retour en arrière et pour identifier les périphériques infectés afin de commencer les efforts de correction. Les ingénieurs réseau de plusieurs sociétés ont convoqué une chaîne Slack toujours en fonctionnement pour comparer les notes sur Mirai. Comme le dit Paine, "C’était en temps réel, nous utilisions Slack et partagions," Hé, je suis sur ce réseau en train de voir cela, que voyez-vous? "

La puissance du réseau de zombies a été rendue encore plus claire au fur et à mesure que la chute se déroulait et que les attaques de Mirai visaient le Libéria, un pays africain, coupant ainsi tout le pays de l'Internet.

Nombre de ces attaques ultérieures semblaient également avoir un angle de jeu: un fournisseur de services Internet brésilien a vu son Minecraft serveurs ciblés; Les attaques Dyn semblent également cibler les serveurs de jeux, ainsi que les serveurs hébergeant les serveurs Microsoft Xbox Live et Playstation et ceux associés à la société d’hébergement de jeux appelée Nuclear Fallout Enterprises. "L’agresseur visait probablement une infrastructure de jeu qui perturbait accidentellement le service fourni à la clientèle plus large de Dyn", ont ensuite déclaré des chercheurs.

«Dyn a retenu l’attention de tout le monde», dit Peterson, en particulier parce que cela représentait une nouvelle évolution et un nouveau joueur inconnu manipulant le code d’Anna-senpai. "C'était la première variante post-Mirai vraiment efficace."

L’attaque de la Dyn a catapulté Mirai à la une des journaux et suscité une immense pression nationale sur les agents chargés de la poursuite de l’affaire. Quelques semaines à peine avant l'élection présidentielle – celle dans laquelle les services de renseignement américains avaient déjà mis en garde contre les tentatives d'ingérence de la Russie -, les attaques de Dyn et de Mirai ont amené les responsables à craindre que Mirai ne soit affecté pour influencer le vote et la couverture médiatique de l'élection. L’équipe du FBI a dû se débrouiller pendant une semaine avec des partenaires du secteur privé pour sécuriser l’infrastructure en ligne essentielle et faire en sorte qu’une DDoS sur un botnet ne perturbe pas le scrutin.

La peste déclenchée par le code source de Mirai a continué à se propager sur Internet l’hiver dernier. En novembre, la société allemande Deutsche Telekom a vu plus de 900 000 routeurs mis hors service lorsqu'une variante de Mirai remplie de bogues l'a accidentellement ciblée. (La police allemande a finalement arrêté un pirate informatique britannique âgé de 29 ans dans cet incident.) Pourtant, les différents botnets concurrents de Mirai ont compromis leur propre efficacité, puisqu'un nombre croissant de botnets se sont affrontés avec le même nombre de dispositifs, conduisant finalement à des mesures de plus en plus petites – et par conséquent moins efficace et inquiétant – attaques DDoS.

Ce qu’Anna-senpai n’a pas Il s’est rendu compte lorsqu’il a vidé le code source que le FBI avait déjà défini suffisamment d’outils numériques pour faire de Jha un suspect présumé, et qu’il l’avait déjà fait à partir d’un improbable perchoir: Anchorage, en Alaska.

L'un des grands reportages Internet de 2016 se retrouverait vendredi dans une salle d'audience d'Anchorage, guidée par l'avocat américain adjoint Adam Alexander pour un plaidoyer de culpabilité à peine un an après l'infraction initiale, un rythme remarquablement rapide pour la cybercriminalité, était un moment marquant en soi , marquant une maturation importante de l’approche nationale du FBI en matière de cybercriminalité.

Jusque récemment, presque toutes les principales poursuites du FBI contre la cybercriminalité provenaient de quelques bureaux tels que Washington, New York, Pittsburgh et Atlanta. Aujourd'hui, cependant, un nombre croissant de bureaux acquièrent la sophistication et la compréhension nécessaires pour assembler des cas Internet fastidieux et techniquement complexes.

Peterson est un vétéran de la cyber-équipe la plus célèbre du FBI, une équipe pionnière à Pittsburgh qui a mis en place des procès novateurs, comme celui contre cinq pirates informatiques chinois. Dans cette équipe, Peterson – un énergique et costaud en informatique et adjudant du Corps des Marines qui a été déployé à deux reprises en Irak avant de rejoindre le bureau, et qui fait maintenant partie de l'équipe SWAT du FBI Alaska – a participé à l'enquête sur le botnet GameOver Zeus. le pirate informatique russe Evgeny Bogachev, qui reste en fuite avec une récompense de 3 millions de dollars pour sa capture.

Souvent, les agents du FBI finissent par s’éloigner de leurs spécialités principales au fur et à mesure que leur carrière avance; Dans les années qui ont suivi le 11 septembre 2001, un des rares agents arabophones du bureau a fini par diriger une équipe qui enquêtait sur les suprémacistes blancs. Mais Peterson est resté concentré sur les cyber-affaires alors même qu'il avait été transféré il y a près de deux ans dans son pays d'origine, l'Alaska, où il avait rejoint la plus petite cyber-équipe du FBI, à savoir quatre agents, supervisés par Walton, un agent de contre-espionnage russe de longue date, et en partenariat avec Klein. , ancien administrateur de systèmes UNIX.

La petite équipe, cependant, en est venue à jouer un rôle démesuré dans les batailles de cybersécurité du pays, se spécialisant dans les attaques par DDoS et les réseaux de zombies. Plus tôt cette année, l’équipe d’Anchorage a joué un rôle déterminant dans la destruction du botnet Kelihos de longue date, dirigé par Peter Yuryevich Levashov, alias «Peter of the North», un pirate informatique arrêté en avril en Espagne.

Marlin Ritzman, l’agent spécial chargé du bureau extérieur du FBI à Anchorage, explique Marlin Ritzman, car la géographie de l’Alaska rend les attaques par déni de service particulièrement personnelles.

«L’Alaska occupe une position unique avec ses services Internet: de nombreuses communautés rurales dépendent d’Internet pour atteindre le monde extérieur», a déclaré Ritzman. «Une attaque par déni de service pourrait bloquer les communications avec des communautés entières ici, ce n’est pas juste une activité ou une autre. Il est important que nous attaquions cette menace. "

Le cas Mirai a été mis au point lentement pour le groupe composé de quatre agents, même s'ils ont travaillé en étroite collaboration avec des dizaines d'entreprises et de chercheurs du secteur privé pour dresser un portrait global d'une menace sans précédent.

Avant de pouvoir résoudre une affaire internationale, la brigade du FBI – d’abord, compte tenu de la manière décentralisée utilisée par les tribunaux fédéraux et le ministère de la Justice – devait prouver que Mirai existait dans leur juridiction, l’Alaska.

Pour établir les motifs d’une affaire pénale, l’équipe a minutieusement repéré les appareils IoT infectés avec des adresses IP en Alaska, puis a assigné à comparaître la principale entreprise de télécommunications de l’état, GCI, un nom et un emplacement physique. Les agents ont ensuite sillonné l’État pour interroger les propriétaires des appareils et établir qu’ils n’avaient pas donné la permission à leurs achats IoT d’être piratés par le malware Mirai.

Certains dispositifs infectés se trouvaient à proximité d'Anchorage, d'autres étaient plus éloignés. étant donné l’éloignement de l’Alaska, la collecte de certains appareils a nécessité des voyages en avion vers les communautés rurales. Dans un service public rural qui fournissait également des services Internet, les agents ont trouvé un ingénieur réseau enthousiaste qui a aidé à localiser les appareils compromis.

"J'ai couru contre des gars vraiment durs, et ces gars-là étaient aussi bons ou meilleurs que certaines des équipes de l'Europe de l'Est que j'ai affrontées."

Elliott Peterson, FBI

Après avoir saisi les appareils infectés et les avoir transportés au bureau extérieur du FBI – un bâtiment bas à quelques rues de l’eau de la ville la plus peuplée d’Alaska -, les agents avaient dû les rebrancher de manière inattendue, puis les reconnecter. Le malware Mirai n’existant que dans mémoire flash, il était supprimé chaque fois que l'appareil était mis hors tension ou redémarré. Les agents ont dû attendre que l'appareil soit réinfecté par Mirai; heureusement, le botnet était si contagieux et s’était propagé si rapidement qu’il n’a pas fallu longtemps pour que les dispositifs soient réinfectés.

À partir de là, l’équipe a travaillé à retracer les connexions du botnet au serveur de contrôle principal Mirai. Puis, munis d’ordonnances judiciaires, ils ont pu retrouver les adresses électroniques et les numéros de téléphone portable associés à ces comptes, en établissant des noms et en les reliant aux boîtes.

«Il y avait beaucoup de six degrés de Kevin Bacon», explique Walton. "Nous avons juste continué à descendre cette chaîne."

À un moment donné, l'affaire s'est enlisée parce que les auteurs de Mirai avaient établi en France un «popped box», un périphérique compromis qu'ils utilisaient comme noeud de sortie VPN sur Internet, dissimulant ainsi l'emplacement réel et les ordinateurs physiques utilisés par les créateurs de Mirai. .

En fin de compte, ils auraient détourné un ordinateur appartenant à un jeune Français intéressé par les dessins animés japonais. Selon une conversation divulguée, Mirai aurait été nommée d'après une série de dessins animés de 2011, Mirai Nikki, et que le pseudonyme de l'auteur était Anna-Senpai, mais le Français était un suspect immédiat.

«Le profil était celui d’une personne avec laquelle nous nous attendions à participer au développement de Mirai», déclare Walton. tout au long de l'affaire, compte tenu de la connexion avec OVH, le FBI a travaillé en étroite collaboration avec les autorités françaises, présentes lors de l'exécution de certains mandats de perquisition.

"Les acteurs étaient très sophistiqués dans leur sécurité en ligne", a déclaré Peterson. "J'ai couru contre des gars vraiment durs, et ces gars-là étaient aussi bons ou meilleurs que certaines des équipes de l'Europe de l'Est que j'ai affrontées."

En plus d'ajouter à la complexité, le DDoS est un crime notoirement difficile à prouver – même le simple fait de prouver que le crime a été commis peut s'avérer extrêmement difficile par la suite. «Les DDoS peuvent se produire en vase clos, sauf si une entreprise capture les journaux de la bonne manière», déclare Peterson. Klein, un ancien administrateur UNIX qui a grandi avec Linux, a passé des semaines à rassembler des preuves et à réassembler des données pour montrer le déroulement des attaques DDoS.

Sur les appareils compromis, ils devaient soigneusement reconstruire les données du trafic réseau et étudier comment le code Mirai lançait ce que l'on appelle des «paquets» contre ses cibles – un processus médico-légal mal compris, appelé analyse des données PCAP (capture de paquets). Considérez-le comme l'équivalent numérique du test des empreintes digitales ou des résidus de coups de feu. «C’était le logiciel DDoS le plus complexe que j’ai rencontré», déclare Klein.

Le FBI a ciblé les suspects d’ici la fin de l’année: des photos des trois hommes étaient accrochées au mur du bureau extérieur d’Anchorage, où les agents les surnommaient le "Cub Scout Pack", un clin d’œil à leur jeunesse. La femme suspecte dans une affaire non liée, dont la photo était également accrochée au tableau, a été surnommée la "Den Mother".)

Le journaliste spécialisé en sécurité Brian Krebs, une des premières victimes de Mirai, a publiquement fait part de ses doigts à Jha et White en janvier 2017. La famille de Jha a d'abord nié son implication, mais vendredi, White et Norman ont tous plaidé coupables de conspiration pour violation de la loi sur la fraude et les abus informatiques, le principale accusation pénale du gouvernement pour la cybercriminalité. Les plaidoyers ont été descellés mercredi et ont été annoncés par l’unité des crimes informatiques du ministère de la Justice à Washington, DC.

Jha a également été accusé – et a plaidé coupable – d'un ensemble étrange d'attaques par DDoS qui avaient perturbé les réseaux informatiques du campus Rutgers pendant deux ans. À partir de la première année, Jha était étudiant là-bas, Rutgers a commencé à souffrir d’une douzaine d’attaques DDoS qui ont perturbé les réseaux, le tout à mi-parcours. À l'époque, une personne anonyme en ligne a poussé l'université à acheter de meilleurs services d'atténuation des attaques DDoS – ce qui, en fin de compte, était exactement l'entreprise que Jha essayait de créer.

In a Trenton courtroom Wednesday, Jha—wearing a conservative suit and the dark-rimmed glasses familiar from his old LinkedIn portrait—told the court that he aimed attacks against at his own campus when they would be most disruptive—specifically during midterms, finals, and when students were trying to register for class.

“In fact, you timed your attacks because you wanted to overload the central authentication server when it would be the most devastating to Rutgers, right?” the federal prosecutor queried.

“Yes,” Jha said.

Indeed, that the three computer savants ended up building a better DDoS mousetrap isn’t necessarily surprising; it was an area of intense intellectual interest for them. According to their online profiles, Jha and White had actually been working together to build a DDoS-mitigation firm; the month before Mirai appeared, Jha’s email signature described him as “President, ProTraf Solutions, LLC, Enterprise DDoS Mitigation.”

As part of building Mirai, each member of the group had his own role, according to the court documents. Jha wrote much of the original code and served as the main online point of contact on hacking forums, using the Anna-senpai moniker.

White, who used the online monikers Lightspeed and thegenius, ran much of the botnet infrastructure, designing the powerful internet scanner that helped identify potential devices to infect. The scanner’s speed and effectiveness was a key driver behind Mirai’s ability to outcompete other botnets like vDOS last fall; at the peak of Mirai, an experiment by L'Atlantique found that a fake IoT device the publication created online was compromised within an hour.

According to court documents, Dalton Norman—whose role in the Mirai botnet was unknown until the plea agreements were unsealed—worked to identify the so-called zero-day exploits that made Mirai so powerful. According to court documents, he identified and implemented four such vulnerabilities unknown to device manufacturers as part of Mirai’s operating code, and then, as Mirai grew, he worked to adapt the code to run a vastly more powerful network than they’d ever imagined.

'We all realized that this isn’t something that just affects my company or my network—this could put the entire internet at risk.'

Justin Paine, Cloudflare

Jha came to his interest in technology early; according to his now deleted LinkedIn page, he described himself as “highly self-motivated” and explained that he began to teach himself programming in seventh grade. His interest in science and technology ranged widely: The following year, he won second prize in the eighth-grade science fair at Park Middle School in Fanwood, New Jersey, for his engineering project studying the impact of earthquakes on bridges. By 2016, he listed himself as proficient in “C#, Java, Golang, C, C++, PHP, x86 ASM, not to mention web ‘browser languages’ such as Javascript and HTML/CSS.” (One early clue for Krebs that Jha was likely involved in Mirai was that the person calling themself Anna-Senpai had listed their skills by saying, “I’m very familiar with programming in a variety of languages, including ASM, C, Go, Java, C#, and PHP.)

This is not the first time that teens and college students have exposed key weaknesses in the internet: The first major computer worm was unleashed in November 1988 by Robert Morris, then a student at Cornell, and the first major intrusion into the Pentagon’s computer networks—a case known as Solar Sunrise—came a decade later, in 1998; it was the work of two California teens in concert with an Israeli contemporary. DDoS itself emerged in 2000, unleashed by a Quebec teen, Michael Calce, who went online by the moniker Mafiaboy. On February 7, 2000, Calce turned a network of zombie computers he’d assembled from university networks against Yahoo, then the web’s largest search engine. By mid-morning it had all but crippled the tech giant, slowing the site to a crawl, and in the days following, Calce targeted other top websites like Amazon, CNN, eBay, and ZDNet.

On a conference call announcing the guilty pleas Wednesday, Justice Department Acting Deputy Assistant Attorney General Richard Downing said that the Mirai case underscored the perils of young computer users who lose their way online—and said that the Justice Department planned to expand its youth outreach efforts.

"I've certainly been made to feel very old and unable to keep up," prosecutor Adam Alexander joked Wednesday.

What really surprised investigators, though, was that once they had Jha, White, and Norman in their sights, they discovered that the creators of Mirai had already found a new use for their powerful botnet: They’d given up DDoS attacks for something lower-profile—but also lucrative.

They were using their botnet to run an elaborate click-fraud scheme—directing about 100,000 compromised IoT devices, mostly home routers and modems, to visit advertising links en masse, making it appear that they were regular computer users. They were making thousands of dollars a month defrauding US and European advertisers, entirely off the radar, with no one the wiser. It was, as far as investigators could tell, a groundbreaking business model for an IoT botnet.

As Peterson says, “Here was a whole new crime that industry was blind to. We all missed it.”


Even as the case in Alaska and New Jersey wraps up—the three defendants will face sentencing later on—the Mirai plague that Jha, White, and Dalton unleashed continues online. “This particular saga is over, but Mirai still lives,” Cloudflare’s Paine says. “There’s a significant ongoing risk that’s continued, as the open source code has been repurposed by new actors. All these new updated versions are still out there.”

Two weeks ago, at the beginning of December, a new IoT botnet appeared online using aspects of Mirai’s code.

Known as Satori, the botnet infected a quarter million devices in its first 12 hours.


Garrett M. Graff (@vermontgmg) is a contributing editor for WIRED. He can be reached at [email protected]

This article has been updated to reflect that Mirai struck a hosting company called Nuclear Fallout Enterprises, not a game called Nuclear Fallout.

Massive Hacks

  • Juliana Serre de Jardin en Verre Trempé Alu Anthracite 9 m² – Juliana Premium
    Précommande : Livraison à partir d'octobreLa serre de jardin Juliana Premium est équipée d’une structure en aluminium recouverte d’une peinture gris anthracite...
  • Juliana Serre de Jardin en Verre Trempé Alu Anthracite 11 m² – Juliana Premium
    Précommande : Livraison à partir d'octobreLa serre de jardin Juliana Premium mesure 3,68 m de profondeur, 2,96 m de largeur et 2,55 m de hauteur. Elle est fabriquée...
  • Juliana Serre de Jardin Verre Trempé Alu Anthracite 13 m² – Juliana Orangerie
    Précommande : Livraison à partir d'octobreLa serre de jardin Juliana Orangerie est une grande serre en verre qui mesure 2,96 m de longueur, 4,39 m de largeur...
  • Juliana Serre de Jardin en Verre Trempé Alu Anthracite 13 m² – Juliana Premium
    Précommande : Livraison à partir d'octobreLa serre de jardin en aluminium Juliana Compact est recouverte d’une peinture, appliquée par poudrage, gris anthracite...
  • IELTS 15 Étudiants universitaires Réservent avec des réponses avec l’esprit audio
    Les papiers d'examen authentiques de Cambridge Assessment Anglais fournissent la pratique parfaite parce qu'ils sont exactement comme le vrai test....
  • Changer la vie. Programme de gouvernement du parti socialiste - XXX - Livre
    Politique - Occasion - Etat Correct - Jauni, Taché - Flammarion poches divers - 1972 - Grand Format - Société coopérative d\'insertion à but non lucratif.
  • Programme commun de gouvernement. parti socialiste parti communiste mouvement des radicaux de gauche - Parti Socialiste - Livre
    Programme - Occasion - Bon Etat - Pliure - Poche Flammarion - 1973 - Poche - Société coopérative d\'insertion à but non lucratif.
  • Trop cool Scooby-Doo! - Saison 1 - Partie 1
    Cette nouvelle série remet en scène le Scooby Gang au coeur d'épisodes de 22 minutes toujours plus amusants. À bord d'une Mystery Machine pleine de surprises, les personnages usent de leurs personnalités excentriques pour résoudre une nouvelle série de mystères décoiffants. Avec un nouveau style d'animation
  • ArÔma'plantes Eau florale de Laurier biologique 250 ml
    LAURUS NOBILIS Origine : Aromaplantes Partie distillée : feuilles Pour la p'tite histoire : Durant l'Antiquité il était le symbole d'Apollon, la couronne des vainqueurs, des rois, des poètes, des sages, des génies et également des étudiants en fin d'études d’où le nom baccalauréat, bacca laurea qui signifie
  • ArÔma'plantes Laurier 15gr
    LAURUS NOBILIS Origine: Aromaplantes Partie de la plante : Feuilles Sachet de : 15g Pour la p'tite histoire : Durant l'Antiquité il était le symbole d'Apollon, la couronne des vainqueurs, des rois, des poètes, des sages, des génies et également des étudiants en fin d'études d’où le nom, baccalauréat, bacca