Это история о том, как компания друзей-подростков выбрала путь киберпреступности и сумела хакнуть глобальный Интернет.
- технологии
- хайп
- безопасность
- статьи
- 22 июл. 24
Подлинная история Mirai: юные хакеры, создавшие «убийцу Интернета», наконец-то раскрыли свои секреты. Часть I
История о том, как компания друзей-подростков выбрала путь киберпреступности и сумела хакнуть глобальный Интернет.
- 437
- 0
- 0
- рейтинг +11
- подписчики 4
Рано утром 21 октября 2016 года Скотт Шапиро проснулся, встал с постели, открыл ноутбук Dell, чтобы почитать новости, и обнаружил, что Интернет не работает.
Не его личный Интернет, хотя поначалу Шапиро это поразило, когда он проверял и перепроверял соединение Wi-Fi своего компьютера и маршрутизатор. Интернет как таковой.
Веб-сайты New York Times и Twitter были отключены. То же самое произошло с веб-сайтами The Guardian, The Wall Street Journal, CNN, BBC и Fox News. Amazon, Spotify, Reddit, PayPal, Airbnb, Slack, SoundCloud, HBO и Netflix в той или иной степени пострадали на большей части восточного побережья США и в других регионах страны.
Шапиро, профессор Йельской школы права, в 2016 году преподавал новый курс по киберконфликтам. Менее чем через три недели должны были пройти президентские выборы, не похожие ни на какие другие в истории США. Ранее в октябре того же года спецслужбы США объявили, что хакерские взломы Национального комитета Демократической партии и ресурсов, которые были задействованы в президентской кампании Хиллари Клинтон, организовали власти РФ. Напуганные аналитики по кибербезопасности опасались, что еще более мощная кибератака может произойти в самый день выборов, ввергнув страну в хаос.
За месяц до описываемых событий знаменитый криптограф Брюс Шнайер опубликовал статью «Кто-то учится отключать Интернет».
«В течение последней пары лет кто-то не раз тестировал защиту компаний, управляющих критически важными частями Интернета», — предупредил Шнайер, один из самых уважаемых специалистов по кибербезопасности. Он описал, как неизвестные силы неоднократно подвергали ключевую инфраструктуру воздействию волн вредоносного трафика в невиданном ранее масштабе. «Эти проверки принимают форму точно выверенных атак, призванных выяснить, насколько эффективно компании могут защитить себя, и что требуется для подавления их защиты. Мы не знаем, кто это делает, но есть ощущение, что это большое государство. Моя первая догадка — Китай или Россия».
Шапиро казалось, что предупреждение Шнайера сбывается точно по графику. Он спрашивал себя: «Это и есть то самое нападение, или репетиция настоящего «большого события», которое произойдет 8 ноября? «Очевидно, что за атакой стоит государство», — думал Шапиро. «Должно быть, это русские».
Тем временем, чуть менее чем в 500 милях к западу от дома Шапиро в Коннектикуте, в городе Вашингтон, штат Пенсильвания, разворачивающуюся атаку наблюдал другой человек.
После типичной бессонной ночи за клавиатурой 19-летний Джозайя Уайт сидел и смотрел на три монитора с плоским экраном, установленных на рабочем столе в грязном подвальном помещении, соединенном со спальней, которую он делил со своим братом в родительской доме. Вокруг было компьютерное оборудование — старые жесткие диски и настольный компьютер друга, который попросил его починить, — а также коробки с семейными игрушками и елочными украшениями.
В течение нескольких недель кибероружие, которое Уайт создал вместе с двумя своими молодыми друзьями, Парасом Джа и Далтоном Норманом, сеяло хаос в Интернете, выводя жертв из строя в процессе одной беспрецедентной атаки за другой. По мере того, как ущерб нарастал, Джозайя все больше привыкал к волнениям, тревоге, чувству вины, ощущению того, что все это абсурдно и вышло из-под контроля, и к мысли, что теперь за ним, вероятно, охотятся правоохранительные органы по всему миру.
Он впал в состояние оцепенения, читая пост Брюса Шнайера о судном дне и понимая, что в нем описывается его собственная работа, и массовое отключение электроэнергии, которое, по словам пресс-секретаря Белого дома расследуется, вызвано непосредственно его действиями.
Но больше всего Джозайя испытывал трепет перед масштабом и хаотичной силой Франкенштейна, которого он и его друзья выпустили на волю. Трепет перед тем, что монстр полностью вышел из-под их контроля и Интернет до основания потрясло нечто, созданное тремя юными хакерами, Сущность под названием Mirai.
Первая часть
Ни один из молодых людей, создавших Mirai, не соответствовал профилю киберпреступника, и меньше всего ему соответствовал Джозайя Уайт, который мог бы, пожалуй, самым прямым образом претендовать на звание изобретателя этого монстра.
Джозайя вырос в сельской местности в часе езды к югу от Питтсбурга. Он был младшим из четырех детей в дружной христианской семье, где все обучались на дому, чтобы, как говорила его мама, лучше «узнать, как и для чего создал их Бог».
Мать описывает Джозайю как худого, темноволосого ребенка, упрямого и независимого, но необычайно доброго мальчика, который садился рядом с новичком в воскресной школе, чтобы тот чувствовал себя желанным гостем.
Отец Джозайи был инженером, а затем продавцом страховых услуг, и семья жила в доме с мастерской, в окружении лесов и сельскохозяйственных угодий. Сколько он себя помнит, Джозайи ходил за своим отцом по дому, пока тот возился и что-то чинил. В 2002 году, когда ему было 5 лет, Джозайя был очень рад получить на Рождество компоненты электрической розетки. Позже родители подарили ему книгу «101 проект в области электроники». Ему еще не было и десяти лет, когда он уже давал отцу советы, как подсоединять трехпозиционные переключатели.
Отец брал его с собой в «автомобильное служение» их церкви: они бесплатно ремонтировали автомобили прихожан и машины, которые пожертвовали миссионерам. Джозайя стоял в углу цеха, ожидая, пока бригадир даст ему задание, например, собрать сломанный водяной насос.
Мальчик наслаждался тем, что впечатлял взрослых своими техническими способностями. Но его всегда тянуло к компьютерам, более ясным и логичным, чем любой компонент автомобиля. «Вы вводите данные и получаете результат», — говорит он. «Это дает больше контроля». После многих лет борьбы за время работы на семейном компьютере, когда ему исполнилось 13 лет, он получил в подарок собственный компьютер.
Примерно в то же время брат Джозайи, который был на семь лет его старше, придумал, как перепрограммировать сотовые телефоны, чтобы их можно было перевести с одного оператора связи на другого. Брат начал оказывать такие услуги по разблокировке, и вскоре они стали настолько востребованы, что отец открыл бизнес по ремонту компьютеров и другой техники.
К 15 годам Джозайя после школы работал в семейном магазине, настраивал Windows и устанавливал антивирусное программное обеспечение на компьютеры клиентов. В какой-то момент ему стало интересно, как работает HTML, затем он начал учиться программированию, потом стал изучать веб-хостинг, сетевые протоколы и Visual Basic.
Каким бы здоровым ни было детство Джозайи, временами он чувствовал, что его жизнь проходит в узких рамках: домашнее обучение, церковь, семейный магазин компьютеров. Но единственные правила, которые его действительно раздражали, были те, которые установила его мать, которая пыталась ограничить его время за компьютером или разрешала доступ к Интернету только в обмен на выполнение уроков и работу по дому. В конце концов, по этим пунктам она сдалась. «Я как бы утомил ее», — говорит Джозайя.
Мать уступила отчасти потому, что практическое понимание тонкостей вычислений стало необходимым для их семейного бизнеса. Джозайя, у которого теперь было почти неограниченное время за компьютером, мечтал о дне, когда он, как и его брат, сможет использовать свои навыки, чтобы открыть свое дело.
Но, как и большинство детей его возраста, Джозайя большую часть времени проводил за играми. Одна из них называлась Uplink. Ее главный герой — хакер-фрилансер, вольный выбирать между двумя враждующими онлайн-движениями, каждое из которых создало мощный фрагмент самораспространяющегося кода. Одна хакерская группа намерена использовать свое творение для уничтожения Интернета. Другая пытается их остановить. Джозайя довел игру до конца за обе стороны.
Когда он получил представление об известных хакерах, таких как соучредитель Apple Стив Возняк и Кевин Митник, которые в 1990-х годах ускользнули от ФБР, то в его подростковом сознании возникло представление о хакерстве как о своего рода тайном контркультурном ремесле. Его привлекала возможность понять технические системы лучше, чем даже их проектировщики, а также бунтарская, творческая свобода, которую хакерство предлагало сыну строгих родителей-христиан. Гугля хакерские термины, Джозайя оказался на сайте под названием Hack Forums, где собирались невинные исследователи, подражатели и настоящие преступники, соперничающие за влияние и деньги.
В Интернете 2011 года самым простым трюком в арсенале каждого неквалифицированного хакера была атака типа «отказ в обслуживании», метод грубой силы, использующий фундаментальное ограничение Интернета: можно создать программу, способную отправлять достаточно ненужных данных на компьютер, подключенный к Интернету, и отключить его от сети.
Пример: в 2022 году хакерская группа Anonymous отреагировала на отказ Visa, Mastercard, PayPal и Bank of America разрешить пожертвования WikiLeaks и призвала своих сторонников бомбардировать серверы компаний запросами данных, создавая распределенные атаки типа «отказ в обслуживании», которые на короткое время отключили онлайн-сервисы этих компаний.
На форумах многие хакеры предлагали свои службы «загрузки», которые за несколько долларов в месяц запускали атаки типа «отказ в обслуживании» против любого, кого выбирал клиент — часто это были сервисы онлайн-игр.
Одни хакеры запускали атаки с помощью ботнетов — скоплений тысяч компьютеров ничего не подозревающих пользователей, захваченных скрытыми вредоносными программами. Другие использовали атаки «отражения» или «усиления»: если хакер находил онлайн-сервис, который отвечал на запрос, отправляя обратно больший фрагмент данных, чем сам запрос, он мог подделать источник своего вопроса, чтобы сервис отправлял ответы жертве. Перенаправляя поток тысяч ответов, хакер мог засыпать ими жертву.
Джозайя, очарованный хитростью этих трюков, был полон решимости понять их на самом глубоком уровне. В то же время, он стремился произвести впечатление на окружающих. «Я хотел сделать что-нибудь крутое», — говорит он. «И я хотел уважения».
Вскоре на Hack Forums Джозайя нашел родственную душу, пользователя, назвавшего себя «Плесень». В офлайн-мире его звали Далтон Норман. Он был хакером-подростком всего годом старше Джозайи.
Как и Джозайя, Далтон вырос в семье инженера. Его отец возглавлял бригаду по обслуживанию небоскреба в Новом Орлеане, где жила их семья. И, как и Джозайя, Далтон от природы обладал техническим талантом. Подростком он писал чит-моды для видеоигр, которые писклявым голосом представлял на собственном YouTube-канале. В свободное время помогал чинить отцовский Chevrolet Monte Carlo.
В отличие от Джозайи, детство Далтона было полно невзгод. Ребенком он боролся с заиканием, которое причиняло ему глубокую травму. Он помнит, как его семья смеялась над ним за обеденным столом, когда он тщетно пытался произнести имя своей младшей сестры. «Это было ужасно, и отчасти способствовало тому, что я просто сидел в своей комнате, у меня была низкая самооценка и я пытался поднять ее, добившись успеха хоть в чем-то», — говорит Далтон.
К концу учебы в начальной школе, к облегчению Далтона, заикание исчезло. Казалось, что теперь он сможет наслаждаться жизнью, но ураган Катрина обрушился на их штат. Семья Далтона эвакуировалась в Миссисипи и не возвращалась домой пять с лишним лет. Далтон оказался в «культовой» христианской частной школе, где ученики молились перед уроками, и где насколько он помнит, учитель математики уверял его, что Барак Обама — антихрист.
Далтон написал свою первую программу, когда ему было 12 лет. Это был спам-инструмент, с помощью которого он доставал нелюбимую учительницу, проникая в ее почтовый ящик. Вскоре после этого он осуществил свою первую атаку типа «отказ в обслуживании», нацеленную на сеть школы.
Подключившись к школьному Wi-Fi, он заваливал маршрутизатор нежелательными запросами до тех пор, пока вся сеть не рухнула. «Легко отключить сеть, находясь внутри нее», — говорит он. По иронии судьбы, к тому моменту Далтон уже завоевал репутацию специалиста в области информационных технологий, поэтому сотрудники школы обратились к нему за помощью в решении проблемы. Он остановил сценарий атаки, отключил маршрутизатор, подключил, и тот снова волшебным образом заработал. Однако во время другой атаки он так перегрел маршрутизатор в плохо вентилируемом чулане, что устройство сгорело.
После неудачной попытки запустить собственную социальную сеть (он понятия не имел, как привлечь пользователей и не имел бюджета на рекламу) Далтон вернулся к хакерству: написал программу-кейлоггер и стал завсегдатаем хакерских форумов. Примерно это же время Далтон познакомился с Джозайей, который, по его словам, был самым умным хакером из всех, которых он когда-либо встречал. Вскоре они покинули Hack Forums и стали регулярно общаться в Skype, а затем в TeamSpeak, еще одном сервисе интернет-конференций. Далтон использовал свое настоящее имя, а Джозайя называл себя «Джоуи». Им нравилось соревноваться друг с другом в поиске новых приемов атаки «отказа в обслуживании». Они не ложились спать до раннего утра, подключая Интернет к серверам, которые можно было использовать для увеличения атакующего трафика в десятки и сотни раз.
По словам двух хакеров, во время этих ночных сессий кибератак они обычно создавали собственный веб-сайт для целевых тренировок или использовали веб-сайт друга, чтобы измерить размер трафика, который на него направляли.
Временами они фиксировали атаки со скоростью более 100 гигабит в секунду. Очень часто они отключали целевой веб-сайт вместе с сервером хостинговой службы, на котором он работал, что приводило к простою бесчисленного количества других веб-сайтов.
К этому времени, признается Джозайя, его пьянила мощь инструментов, которыми они научились пользоваться, хотя он все еще считал себя невинным хакером-исследователем.
Обоим подросткам удавалось скрывать от родственников увлечение хакерством. Но Далтон столкнулся с последствиями в реальном мире. Все началось с того, что работавший в его загрузочной службе подросток-хакер, которому он по глупости назвал свое настоящее имя, украл их прибыль. Он уволил парня. Несколько дней спустя Далтон и его семья сидели за обеденным столом, когда в дом ворвалась группа полицейских в бронежилетах, крича, чтобы все они легли на пол. Полицейские направили дробовики на Далтона, его перепуганных родителей, братьев и сестер, выкрикивая приказы и задавая вопросы.
Выяснилось, что в полицию поступил поддельный звонок в службу 911. Звонивший сообщил, что Далтон застрелил мать и удерживает в заложниках остальных членов семьи. Полиция поняла, что история с заложниками выдумана. Далтон объяснил полицейским и родителям, что ее выдумал мальчик, с которым он поссорился в интернете. О хакерских делах он, конечно, умолчал.
По словам Далтона, из этого эпизода он извлек урок: необходимо удвоить конспирацию и больше не сообщать никому в мире хакеров свое настоящее имя, кроме Джозайи. «Я никому не доверял, кроме Джоуи», — говорит он.
Когда Далтону было 15 лет, к нему вернулось заикание. По его словам, это был «кошмар». В какой-то момент, чтобы не ходить на занятия по физкультуре, он вызвался работать волонтером в техническом офисе своей средней школы и обнаружил, что в его обязанности входит доставка ноутбуков ученикам. Он помнит, как стоял перед классом и пытался произнести имя ученика, а весь класс над ним смеялся. Даже свое собственное имя он часто не мог произнести.
По словам Далтона, заикание снова подтолкнуло его к киберпреступности. Он разорвал связи с друзьями, вернулся к компьютеру и сосредоточил все силы на хакерстве. Его искаженная подростковая логика снова сработала, заставив отказаться от всякой надежды на нормальную жизнь или законную карьеру. «Я подумал: «Никто не возьмет меня на работу, потому что я не умею говорить». Как я смогу пройти собеседование, если едва могу произнести свое имя?» — вспоминает Далтон. У него не было, сказал он себе, другого выхода.
Из трех молодых хакеров, которые организовали самые крупные DDoS-атаки в истории, Парас Джа встал на этот путь из самого невинного и детского чувства: из любви к Minecraft.
Парасу, родившемуся в Мумбаи, было меньше года, когда его семья эмигрировала в США. Родители требовали от сына успехов в обучении, и Парас был достаточно одарен, чтобы оправдать их надежды. В начальной и средней школе, как только он получал новые учебники, он прочитывал их один раз, после чего никогда к ним не возвращался, но сдавал все все тесты и экзамены на отлично. В то же время Парас осознавал, что у него парадоксальная проблема с концентрацией внимания. Учителя предложили родителям мальчика обследовать его на синдром дефицита внимания. По словам Параса, его семья скептически отнеслась к этому, и его так и не лечили.
Когда Парас подрос, он часто забывал делать школьные задания, и строгие родители его наказывали. Чтобы скоротать время, он увлекся компьютерами. В будние дни ему запрещали играть в его любимые игры, поэтому он часами играл в Microsoft Visual Studio, обучаясь программированию.
В первые годы пребывания в старшей школе Парас стал одержим Minecraft, захватывающим онлайн-миром, который, по сути, представляет собой блочную, почти бесконечную метавселенную. Однако больше, чем сама игра, Параса привлекала возможность запустить свой собственный мир на онлайн-сервере Minecraft.
Вскоре подросток выяснил, что может заработать тысячи долларов, используя свои навыки программирования для создания модификаций и мини-игр для других администраторов Minecraft. Серверы Minecraft постоянно подвергались DDoS-атакам со стороны обиженных игроков, конкурентов и троллей. Многие участники платили тысячи долларов в месяц фирмам по защите от DDoS.
Джа подружился с Джозайей и обнаружил, что этот талантливый хакер был готов вывести из строя практически любой целевой сервер, о котором его просил Парас, просто ради развлечения.Отказавшись от атак с усилением, Джозайя стал применять бот-сеть из тысяч компьютеров в Интернете, которые он заразил своим собственным вредоносным ПО, используя брешь в безопасности в сети.
Позже Джозия переключился на еще более мощную коллекцию серверов Supermicro, которые взломал через уязвимость в контроллерах управления основной платой — чипах, предназначенных для того, чтобы администратор мог удаленно подключаться к серверу и контролировать его производительность. Атаки, которые он инициировал, вскоре стали невероятно мощными. Парас тоже хотел заполучить себе эту суперсилу. Джозайя был рад помочь ему устранить неполадки в коде DDoS-атаки и даже предложил Парасу тысячи компьютеров из своего собственного ботнета.
Вскоре Парас стал опытным хозяином ботнетов со своей собственной ордой зомби, проводящих DDoS-атаки. Воспитанный и послушный ребенок из строгой иммигрантской семьи превратился в безудержного онлайн-вандала. Но в тот момент, по словам Параса, ни ему, ни Джозайе, ни Далтону не было до конца ясно, насколько серьезными могут быть последствия их нападений. В конце концов, они просто отключали компьютеры от Интернета, верно? «Серверы снова подключаются к сети», — говорит Парас. «На следующий день ты просыпаешься и идешь в школу».Он вспоминает, как сидел в ванной родительского дома сразу после того, как взломал один из крупнейших серверов Minecraft, Hypixel, и думал, что, если он продолжит в таком духе, рано или поздно его арестуют. «Не втягивайся в это», — сказал он себе.
Но они все втянулись.
Христианин Джозайя, который когда-то считал себя безобидным хакером-исследователем или шутником в стиле Возняка, в итоге скатился к киберпреступности с целью заработка. Под именем LiteSpeed он начал продавать свои методы усиления известным операторам загрузочных сервисов, тратя большую часть денег на аренду серверов в удаленных центрах обработки данных для дальнейших атак. Он перепроектировал код Skype, чтобы найти способы извлечения IP-адресов пользователей, идентификаторов их домашних подключений к Интернету, с помощью которых можно было напрямую подвергать их DDoS-атакам. Вскоре он стал продавать этот инструмент для извлечения IP-адресов своим коллегам-хакерам и загрузчикам.
Когда одна из потенциальных жертв его друга похвасталась, что его нельзя отключить в автономном режиме, потому что у него динамический IP-адрес, который меняется каждый раз, когда он перезагружает домашний маршрутизатор, Джозайя решил, что может использовать команду трассировки, чтобы увидеть IP-адрес каждого маршрутизатора между этой целью и его интернет-провайдером. Поэтому они с другом начали подключаться к компьютерам, расположенным дальше по течению в этой сети, преследуя более крупные артерии, которые передавали данные на его компьютер и обратно, вместо капилляров, связанных с его домашней машиной, пока все эти маршрутизаторы тоже не перестали отвечать. Эта неизбирательная тактика, насколько они могли судить, отключала интернет для всего города, в котором жил объект атаки.
Каждый шаг вперед на этом пути, по словам Джозайи, казался ему настолько незначительным, что, он, как та лягушка в чане с кипятком, не замечал изменений температуры — моральной температуры.
Он говорил себе, что не занимается реальными киберпреступлениями, такими как взлом сетей или кража данных кредитных карт. Один пользователь Hack Forums заверил его, что ФБР интересуют только бот-сети размером более 10 000 компьютеров, и он наивно поверил в эту выдумку. «Я рационализировал многое из происходящего», — говорит Джозайя. «Кастрюля закипала».
В начале 2014 года, когда Джозайе было 16 лет, он сделал ещё один роковой шаг, создав новую мощную форму ботнета. Друг указал ему на то обстоятельство, что домашние маршрутизаторы не только являются целями для DDoS-атак: их можно взломать и потенциально превратить в зомби-солдат ботнетов. Многие маршрутизаторы использовали старый протокол под названием telnet, который позволял администраторам удаленно их настраивать, иногда без необходимости какой-либо аутентификации или же требуя только учетных данных по умолчанию, таких как пароль «admin». Другими словами, все эти маршрутизаторы представляли собой бесчисленные тысячи устройств, ожидающих, чтобы их захватили и включили в армию Джозайи.
Загвоздка заключалась в том, что маршрутизаторы были небольшими простыми устройствами, в которых использовались дешевые, малопроизводительные чипы встроенных устройств. Джозайя научился писать на родном языке ARM-чипов маршрутизаторов и создал компактную вредоносную программу, которую можно было устанавливать через telnet на относительно примитивные устройства, заставляя их подчиняться его командам.
Операционные системы маршрутизаторов обычно не позволяли устанавливать на них программное обеспечение. Но Джозайя выяснил, что у них есть команда «эхо», которая может записать любую введенную строку текста в новый файл. С помощью этой команды он построчно скопировал свой код в файл, достаточно маленький, чтобы уместиться в несколько мегабайт памяти маршрутизатора. Он назвал код Qbot.
Qbot был первой попыткой Джозайи взломать так называемый Интернет вещей, обширную вселенную подключенных к Интернету устройств, выходящих за рамки традиционных компьютеров: от систем камер видеонаблюдения до интеллектуальных устройств. Даже в ходе этой первой и довольно простой попытки стало ясно, что Qbot — новое мощное оружие.
Продолжение следует...
- 437
- 0
- 0