Это история о том, как компания друзей-подростков выбрала путь киберпреступности и сумела хакнуть весь мировой Интернет.
***
Qbot был первой попыткой Джозайи взломать так называемый Интернет вещей, обширную вселенную подключенных к Интернету устройств, выходящих за рамки традиционных компьютеров: от систем камер видеонаблюдения до интеллектуальных устройств. Даже в ходе этой первой и довольно простой попытки сразу стало ясно, что Qbot — новое мощное оружие.
Джозайя видел мощь, с которой столкнулся: оказалось, что в сети есть тысячи уязвимых маршрутизаторов, которыми Qbot мог завладеть. Сначала Джозайя был более осторожен с этим творением, чем со своими предыдущими проектами кодирования. Он поделился кодом Qbot только со своими друзьями: Далтоном, Парасом и несколькими другими молодыми хакерами, которые тусовались в Skype и TeamSpeak.
Но Джозайя совершил ошибку, сообщив код еще одному контакту. Этот парень носил имя Vypor и, по словам Джозайи, имел репутацию человека, который торговал секретами других хакеров, чтобы произвести впечатление на своих знакомых. Vypor немедленно начал обменивать Qbot на услуги и влияние, используя, как вскоре выяснилось, весь список своих контактов.
Когда предательство стало очевидным, Далтон принял ответные меры от имени Джозайи, наняв через сервис Fiverr рэпера, который записал насыщенный ненормативной лексикой трек, жестоко высмеивающий отсутствие у Vypor навыков программирования. Трек был загружен на YouTube. Vypor немедленно отреагировал, пригрозив прихлопнуть всех: Далтона, Джозайю и даже Параса, который только недавно присоединился к группе.
Молодые хакеры боялись, что по ним нанесут удар. Они согласились, что лучший способ защитить себя – выбить Vypor из строя и как можно дольше связывать ему руки. Если он не сумеет связаться с VoIP-сервисом и подделать звонок в полицию, то не сможет никого атаковать. Может быть, тогда они смогут хотя бы насладиться выходными, перед тем, как на их пороге появится вооруженная полиция.
Объединив усилия, друзья использовали против Vypor все доступные им DDoS-инструменты. Несколько дней подряд они неоднократно атаковали его домашнее соединение и маршрутизаторы, расположенные на два-три шага выше по сети, используя Qbot и все другие ботнеты и методы усиления, которыми овладели. В итоге, они отключили от Интернета весь город, в котором жил Vypor, хотя так и не получили стопроцентных подтверждений тому, что цель была достигнута. Однако вся цепочка сетевых устройств перестала отвечать на их пинги. Так или иначе, Vypor сошел со сцены и больше их не беспокоил.
Эллисон Никсон, которая одной из первых в полной мере поняла опасность сценария, когда хакеры берут под контроль маршрутизаторы и устройства Интернета вещей, не знала, кто такой Джозайя Уайт. Но она знала LiteSpeed.
За несколько лет до описываемых событий Никсон работала в ночную смену в нью-йоркском Центре обеспечения безопасности дочерней компании Dell SecureWorks. В качестве аналитика по безопасности эта двадцатилетняя девушка отслеживала сети клиентов компании на предмет атак в режиме реального времени и исследовала их, но лишь в такой степени, чтобы решить, стоит ли передавать информацию старшему специалисту.
Однако ей стало любопытно, откуда берутся все эти ежедневные широкомасштабные попытки взлома. Поэтому в долгие перерывы между оповещениями она начала гуглить и была поражена, обнаружив Hack Forums, платформу в открытой сети, где молодые хакеры хвастались своими атаками и открыто продавали наборы инструментов.
Особенно ее шокировали услуги по загрузке: публично и дешево хакеры продавали кибератаки, которые могли стоить компаниям миллионы долларов в год и часто превращали жизнь ее коллег в сущий ад. Многих молодых хакеров, нанесших этот ущерб, можно было идентифицировать благодаря их необдуманным публичным постам и сообщениям, пренебрежительному отношению к собственной безопасности и частому «доксированию» конкурентов — деанонимизации других хакеров. Но, похоже, никто ничего не делал, чтобы их остановить.
Очень скоро Никсон поняла, что большинство хакеров на сайте на самом деле не разрабатывали собственные методы. Почти все их инструменты были созданы горсткой по-настоящему квалифицированных специалистов. Одним из них был LiteSpeed. Его приемы усиления атак и инструменты заражения ботов сделали его своего рода альфа-самцом Hack Forums, самым выдающимся игроком. Никсон почувствовала, что на него стоит обратить пристальное внимание.
Коллеги девушки из команды по борьбе с угрозами SecureWorks мало интересовались DDoS-атаками, считая их примитивными по сравнению с передовыми методами, которыми они изучали. Но Никсон была очарована анархическим миром, в котором молодые хакеры сумели создать целую индустрию кибератак, по-видимому, без малейших последствий и даже не вызывая к себе интереса со стороны правоохранительных органов.
Совместно с другими исследователями Никсон начала тестировать службы загрузки на хакерских форумах. Она создала «подопытного кролика» в виде целевого сервера, который подвергался воздействию нежелательного трафика. Скорость некоторых атак превышала 30 гигабит в секунду. Этого достаточно, чтобы вывести кого-то из сети или повредить веб-сайт.
К 2014 году Никсон ушла из оперативного центра безопасности и полностью посвятила себя охоте за хакерами, но не могла избавиться от одержимости DDoS. В Питтсбурге, на встрече борцов с киберпреступностью, членов Национального альянса кибер-криминалистики и обучения, она продемонстрировала десяткам исследователей, ученых и сотрудников правоохранительных органов, что может нажать кнопку на загрузочном веб-сайте и начать кибератаку по своему желанию – смелый шаг, если на него смотрит толпа федеральных агентов и прокуроров.
Особое впечатление Никсон произвела на агента ФБР Эллиота Петерсона (на фото ниже) – бывшего морского пехотинца, который незадолго до их знакомства возглавил группу специалистов, сумевших уничтожить мощное вредоносное ПО и ботнет GameOver ZeuS. Они много говорили о проблеме загрузки. Никсон отметила, насколько свободно работают такие хакерские службы и насколько мощными могут быть их атаки. Девушка чувствовала, что, если оставить эту проблему без внимания, она создаст серьезную угрозу для работы всего Интернета.
..Для Джозайи конфликт с Vypor стал тревожным звонком. Он на год ушел с Hack Forums, созданный им дескриптор LiteSpeed простаивал. Но он продолжал общаться с Парасом и Далтоном, и они втроем совместно использовали Fun Box – арендованный сервер для экспериментов по кодированию и интернет-сканированию.
Тем временем Парас продолжал свободное падение в пропасть хакерского нигилизма. Осенью 2014 года он поступил в колледж в Ратгерсе и с нетерпением ждал возможности углубиться в изучение информатики. Он был потрясен, узнав, что ему придется записаться на другие курсы, которые, по его мнению, стали бы месяцами зря потраченного времени и обучения. Даже экзамены по информатике, к его ужасу, приходилось сдавать с помощью карандаша и бумаги. «Я ненавижу колледж», — написал он другу. «Для меня здесь абсолютно ничего нет».
Он впал в депрессию и набрал вес: за один присест съедал большую пиццу «Папа Джонс». Парас не мог спать по ночам, часто у него не было мотивации встать утром с постели, а тем более пойти на занятия. Если не считать соседа по комнате, он почти ни с кем не общался в реальном мире, и уж точно это общение не могло сравниться с проверенной в боях дружбой с хакерами в Интернете.
Особенно расстроило Параса то обстоятельство, что он не сумел попасть на курсы информатики, на которые хотел записаться: учащиеся третьего и четвертого курса получили возможность выбирать первыми, и только после завершения их регистрации второкурсники и первокурсники смогли выбирать из оставшихся курсов.
Но вскоре Парас понял, что у него есть суперсила, позволяющая исправить эту несправедливость: с помощью одного из своих ботнетов, построенного в основном из уязвимых домашних маршрутизаторов, он отключил всю систему регистрации на определенный период, до того момента, когда должна была подойти его очередь.
Когда пришла пора сдавать экзамены по предмету, в котором он ничего не понимал, Парас снова отключил сеть, чтобы отложить их. Позже он отключил сеть, чтобы родители не увидели его оценки, которые становились всё хуже. Отключения продолжались достаточно долго, и некоторые студенты колледжа впоследствии потребовали возмещения стоимости обучения.
Парас наслаждался чувством контроля, которое давали ему атаки, но его проблемы от этого не исчезали. На втором курсе стало ясно, что колледж ему не подходит.
Примерно в то же время он начал обсуждать с Джозайей идею создания собственного стартапа, который будет за деньги предлагать клиентам защиту именно от таких атак, в проведении которых они достигли мастерства.
Джозайе идея понравилась. Он разбирался в DDoS-атаках на глубоком уровне – создал многие из тех инструментов, с которыми ежедневно боролись фирмы по защите от DDoS, а Парас имел репутацию опытного программиста, особенно в среде администраторов серверов Minecraft, которые могли стать отличной первоначальной клиентской базой.
Парас занял у отца 10 000 долларов, и они с Джозайей на эти средства основала компания ProTraf Solutions. Друзья видели, как востребована работа компаний, предоставляющих услуги по защите клиентов от новых форм DDoS, и были уверены, что смогут добиться большего.
Однако все оказалось не так просто. Запустив ProTraf, они поняли, что потенциальные клиенты не слишком часто ищут защиту от DDoS. Как правило, они не чувствовали необходимости менять провайдера, если только существующий провайдер не мог защитить их от атак, что происходило редко. Тем временем пропускная способность, которую Джозайя и Парас арендовали на серверах по всему миру – «подушка», которую они собирались использовать для поглощения атакующего трафика, направленного на клиентов – быстро съедала их капитал.
Вскоре им пришла в голову идея. Клиенты начинали рассматривать возможность перехода на ProTraf лишь в том случае, когда оказывались фактически отключены от сети. Возможно, двум бизнес-партнерам просто нужно было ускорить этот процесс? «Мы могли дожидаться такого отключения», – говорит Джозайя, – «или могли вызвать такое отключение сами».
Друзья решили, что будут проводить DDoS-атаки против клиентов своих конкурентов, но, конечно, ровно в такой степени, чтобы поставить на ноги свой полностью законный бизнес.
Джозайя и Парас приступили к созданию нового ботнета. Они использовали старый код Qbot Джозайи, чтобы повторно заразить новую армию из тысяч маршрутизаторов, и c его помощью стали нападать на клиентов своих конкурентов – все серверы Minecraft – легко уничтожая их защиту. Какое-то время эта завуалированная схема вымогательства эффективно работала. Более дюжины администраторов Minecraft, отчаянно пытаясь вернуться в режим онлайн, перешли на ProTraf, ежемесячно платя по 150 или 200 долларов.
Но этого было недостаточно. Друзья слишком быстро расширяли свой бизнес, покупая инфраструктуру, которая съедала их капитал быстрее, чем доходы могли его восполнить.
Джозайя все еще работал в семейном бизнесе по ремонту компьютеров и изо всех сил пытался поставить ProTraf на ноги. Чтобы увеличить продажи, он стал обзванивать потенциальных клиентов, но никто не желал слушать подростка, который торопливо рассказывал о критически важной защите безопасности.
Примерно через год после запуска, в конце весны 2016 года, ProTraf начал откровенно прогорать. Джозайе было трудно смириться с надвигающейся смертью компании. Родители так гордились его деловыми амбициями: ему казалось, что он реализует свой потенциал, идя по стопам отца-предпринимателя.
Он стал рассматривать другие источники прибыли. Один друг из хакерской среды спросил, готов ли Джозайя создать новый ботнет для DDoS-атак. Тогда, по его словам, он заставил бы клиентов выстраиваться в очередь, чтобы платить тысячи долларов в биткоинах за доступ такому сервису.
Пытаясь сохранить ProTraf, Джозайя уговорил Парасу принять предложение и создать новый, еще более крупный ботнет, сдавая в аренду часть атакующей мощности тому, кто предложит самую высокую цену. По сути, это означало превращение их компании в бизнес по продаже кибератак как услуги.
Прошло несколько лет с момента создания Qbot, и у Джозайи с Парасом уже имелись новые идеи о том, заразить и присвоить себе как можно больше устройств Интернета вещей.
С тех пор, как исходный код Qbot Джозайи просочился в сеть (благодаря старому другу Джозайи, Vapor), хакерское сообщество постоянно его обновляло. Некоторые версии теперь были преобразованы в «червей»: зараженные маршрутизаторы автоматически сканировали другие уязвимые устройства и пытались взломать и тоже заразить их в цикле самораспространения. Но когда Джозайя и Парас исследовали эти новые системы ботнетов, они показались им неэффективными и ненадежными. Чужой взломанный маршрутизатор был громоздкой точкой обзора для поиска уязвимостей в новых машинах. Кроме того, такая децентрализованная установка затрудняла и замедляла обновление программного обеспечения их ботов.
Поэтому они разработали альтернативу: более централизованную трехступенчатую структуру. Зараженные машины должны были сканировать другие устройства, которые можно взломать – используя новую систему, которая была в сто раз быстрее, чем Qbot, – и сообщать об обнаруженных ими уязвимых устройствах на сервер «загрузчика», который мог взломать машины через telnet и установить вредоносное ПО. Затем отдельный сервер должен был управлять этими зараженными вредоносным ПО ботами, периодически отправляя новые команды для определения целей, которые следует атаковать.
Парас и Джозайя были удивлены, обнаружив, насколько мощным оказался новый автоматизированный процесс вербовки зомби. Джозайя вспоминает, как оставил систему включенной на ночь и, проснувшись, обнаружил 160 000 маршрутизаторов, готовых выполнять его приказы – гораздо больше, чем он когда-либо контролировал.
Когда он осознал истинные масштабы того, что они создавали, план Джозайи – собрать немного денег с помощью нескольких кибератак, затем вернуться к ProTraf и работать легально – начал казаться ему пустой тратой его талантов.
«Это круто», – подумал он. «Это новаторство. Никто больше этим не занимается».
Поскольку размер их ботнета резко увеличился, Джозайя предложил Парасу сдавать в аренду злоумышленникам небольшую часть их «огневой мощи» за 2000 или 3000 долларов в месяц, и тогда они легко смогут ежемесячно получать больше 10 000 долларов.
«Лол», – ответил Парас. «И насколько большой должна быть армада?» «Это не станет проблемой», – заметил Джозайя.
Видя, что ботнет так быстро и значительно разрастается, Джозайя чувствовал, что им движет не просто мотив получения прибыли. «Какие здесь ограничения?» – спрашивал он себя. «Как далеко мы можем распространить эту штуку?»
Естественно, он обратился к своему старому другу Далтону, который всегда разделял его стремление выйти за рамки прибыли. Джозайя и Парас согласились предоставить Далтону общий контроль над их растущим творением, позволив продавать доступ к части ботнета через его собственную службу загрузки. В свою очередь, Далтон делился с ними хакерскими навыками для поиска новых устройств, которыми можно было бы пополнить их «орду».
Чтобы максимизировать влияние их вредоносного ПО, Далтон начал исследовать многочисленные уязвимости Интернета вещей. Он раскопал по всему миру десятки тысяч гаджетов с неисправленными недостатками – машин, которые выходили далеко за рамки домашних маршрутизаторов: умные устройства (онлайн-холодильники, тостеры и лампочки) стали частью объединенной массы сырой вычислительной мощности. Преимущество всех этих эклектичных цифровых объектов заключалось в том, что они представляли собой относительно новую территорию. В то время как многочисленные хакеры боролись за контроль над традиционными вычислительными устройствами – ПК и даже маршрутизаторами – многие из этих новых устройств оставались незатронутыми вредоносным ПО и никто на них не претендовал.
Особенно перспективными новичками оказались системы цифровой видеозаписи камер наблюдения, аппаратура которых способна обрабатывать большие видеофайлы. Сканирование даже выявило более экзотические устройства, которые можно взломать, например, подключенные к Интернету промышленные бетономешалки и системы управления муниципальными предприятиями водоснабжения. (Трое хакеров говорят, что избегали взлома этих промышленных устройств, опасаясь, что их примут за кибер-террористов.)
Далтон отсканировал новые виды уязвимых устройств и написал код для их заражения. Джозайя усовершенствовал код и создал программное обеспечение, позволяющее контролировать новые дополнения к их набору сетевых гаджетов.
Тем временем Парас сосредоточился на разработке административного программного обеспечения, которое использовалось на их сервере управления и контроля. Это была сложная задача, поскольку их ботнет вырос почти до 650 000 устройств.
Он чувствовал, что масштабы их деятельности вскоре привлекут внимание, и решил максимально скрыть их личности. Рекламируя ботнет, Парас создал новые аккаунты Sock-Puppet с именами OGMemes и Ristorini на хакерских форумах в Skype, Reddit и Jabber. Чтобы затруднить отслеживание их подключения к серверу управления и контроля ботнета, Джозайя нашел уязвимый сервер во Франции, который они смогли взломать и использовать в качестве точки перехода, подключаясь к этой взломанной машине только через программное обеспечение Tor.
Французский сервер был заполнен аниме-видео, о которых Парас кое-что знал. Он был поклонником психоделического анимационного японского шоу «Мирай Никки», в котором подросток-изгой обнаруживает, что является участником королевской битвы 12 владельцев волшебных мобильных телефонов, и использует возможности своего телефона, чтобы стать повелителем времени и пространства. Парас знал, что имя файла их программы, которая работала на постоянно растущей базе сотен тысяч устройств по всему миру, вскоре завоюет дурную славу. Поэтому, чтобы связать создание ботнета со случайным коллекционером аниме, он выбрал подходящее имя: Мирай. По-японски это означает «будущее».
Для Эллисон Никсон и любого другого исследователя безопасности, наблюдавшего за происходящим со стороны, появление Mirai выглядело как начало мировой войны, в которой полем битвы стало множество Интернет-гаджетов.
В 2014 и 2015 годах Никсон начала замечать, что группы хакеров подхватывают утекший код Qbot LiteSpeed, а затем продают доступ к своим собственным ордам зомби-устройств или используют их для террора и вымогательства у игровых онлайн-сервисов. Поэтому Никсон, которая примерно в это же время начала работать в охранной фирме Flashpoint, создала «приманки» – подключенные к Интернету симуляции уязвимых устройств, предназначенные для заражения хакерского программного обеспечения. Приманки занимались шпионажем в среде ботнетов. Благодаря этому она смогла в режиме реального времени собирать данные о командах и целях загрузчиков.
В начале сентября 2016 года, отслеживая ботнеты-приманки, Никсон и ее коллега заметили новый интригующий образец кода, который заражал маршрутизаторы и гаджеты Интернета вещей: впоследствии он стал известен как Mirai.
Новый код, похоже, был способен определять, когда он работал на приманке, а не на реальном устройстве, и в этом случае немедленно прекращал работу. Поэтому Никсон и ее коллега заказали на eBay дешевый видеорегистратор, подключили его к Интернету и стали наблюдать, как устройство – они прозвали его «грустным видеорегистратором» из-за того, что оно было жертвой – снова и снова заражалось Mirai и его конкурентами.
К тому времени создатели Mirai были вовлечены в обостряющуюся войну за сферы влияния с vDOS, конкурирующей командой ботнетов, которая создала особенно большую армию взломанных машин с помощью обновленной версии Qbot. Команды Mirai и vDOS разработали свое программное обеспечение для ботов, позволяющее идентифицировать и уничтожать любую программу, которая казалась конкурирующей, и эти два ботнета начали соперничать за контроль над сотнями тысяч уязвимых машин. Это были две армии, в ходе боев которых одна и та же полоса нейтральной земли неоднократно переходила из рук в руки.
Вскоре команды Mirai и vDOS стали анонимно подавать жалобы на злоупотребления компаниям, размещающим их серверы управления. Взаимные жалобы вынуждали их постоянно строить новую инфраструктуру. В какой-то момент компания BackConnect, которая размещала сервер Mirai и которой управляли знакомые команды Mirai, подверглась DDoS-атаке со стороны команды vDOS. К шоку Никсона, BackConnect отреагировала использованием так называемого перехвата BGP – тактики, заключающейся в том, чтобы, по сути, лгать другим интернет-провайдерам с целью неправильного направления большого количества трафика – и эффективно отключила сервер управления vDOS в автономном режиме.
Вскоре Парасу, Джозайе и Далтону надоела бесконечная война по принципу «око за око». Они перепрограммировали Mirai, позволив ему разорвать telnet-соединения на устройствах-жертвах, что усложнило их обновление, но не позволяло vDOS и любому другому конкуренту легко повторно заражать эти машины. Казалось, это помогло: команде Mirai показалось, что vDOS сдалась. (На самом деле их противников допросили правоохранительные органы, а затем арестовали.)
Никсон помнит чувство, с которым она и ее команда исследователей наблюдали, как Mirai выиграла эту войну и стала доминировать над массой уязвимых устройств в Интернете. Когда-то весь этот беспорядочный ландшафт был заражен вредоносными программами разных типов. Теперь, впервые за все время наблюдений, все эти коды прекратили активность. Mirai успешно овладела сотнями тысяч сетевых устройств по всему миру. «Для нас это выглядело так, словно по саванне теперь бродил один-единственный хищник, а все остальные животные исчезли», – говорит Никсон. «Мы начали охоту на этого монстра».
Для большей части исследовательского сообщества цель этого гигантского ботнета все еще оставалась неясной. Они не могли знать, что Джозайя, Далтон и Парас создали Mirai для бизнеса и выставили его услуги на продажу.
Часть вторая
22 сентября 2016 года Брайан Кребс стал мишенью атаки со стороны самого мощного DDoS-ботнета в истории. Кребс работал независимым репортером-расследователем и был одним из самых известных исследователей в индустрии кибербезопасности.
Двумя днями ранее сервис Prolexic, обеспечивающий защиту от DDoS-атак, сообщил, что его веб-сайт KrebsonSecurity подвергся атаке, максимальная скорость которой, согласно измерениям Prolexic, составила 623 гигабита в секунду. Компания никогда не видела атаки даже наполовину настолько масштабной. Но им героически удалось поглотить трафик, рассказал Кребсу представитель Prolexic, и его сайт остался в сети.
Кребс гордился своей работой по охоте на киберпреступников, которая нажила ему множество врагов. Однажды кто-то отправил ему домой героин из даркнета, пытаясь его подставить. DDoS-атаки со стороны пострадавших субъектов его репортажей не были чем-то новым. Но в данном случае он понял, что недооценивать эту конкретную атаку не стоит.
В течение двух дней он продолжал получать уведомления от Prolexic о том, что массированные DDoS-атаки продолжаются. Тот, кто атаковал его сервер, все это время постоянно менял тактику, запуская новые формы данных, предназначенные для того, чтобы Prolexic было сложнее их отфильтровать, или нацеливаясь на машины, расположенные выше по потоку. 22-го числа Кребсу снова позвонили из Prolexic. На этот раз компания вежливо, но твердо заявила, что ему лучше найти новый источник защиты от DDoS. Одна из крупнейших в мире компаний по защите от DDoS-атак не могла справиться с масштабом потока данных, обрушившегося на его сайт.
Кребс сел в машину и поехал на парковку местного предприятия, чтобы попытаться найти стабильное соединение Wi-Fi для своего ноутбука. Оттуда он позвонил своему провайдеру веб-хостинга и предложил настроить его веб-сайт так, чтобы он указывал на несуществующий IP-адрес, по сути направляя атакующий трафик – и всех, кто пытается посетить его сайт – в пустоту. Хостинговая компания последовала его совету. KrebsonSecurity.com мгновенно отключился.
Для Кребса успешная цензура со стороны киберпреступников стала совершенно новым опытом. Впервые некто сумел отключить его сайт так, что любые попытки противодействовать оказались безуспешными.
Когда Кребс написал в Твиттере, что его сайт подвергся «крупнейшей DDoS-атаке в истории интернета», он был почти прав. Примерно в то же время Mirai нанес удар по французскому интернет-провайдеру OVH. Скорость атаки была ещё более шокирующей – терабит в секунду.
Сотни тысяч взломанных устройств ботнета также вывели из строя фирму веб-хостинга и сервис Minecraft с помощью атак, которые были почти такими же масштабными, но остались практически незамеченными в мире безопасности.
Всего за несколько месяцев после запуска своей «Звезды Смерти» трое хакеров собрали небольшую, но преданную группу клиентов. Ещё один хакер, известный под псевдонимом «Дрейк», действовал как своего рода торговый представитель: он периодически поражал произвольные цели, чтобы продемонстрировать огневую мощь Mirai потенциальным платежеспособным клиентам.
Один из таких клиентов, который утверждал, что находится в России, арендовал Mirai для проведения атак на конкурентов в мире веб-хостинга киберпреступников, выводя из строя сайты своих противников. Самым частым пользователем, похоже, был хакер из Бразилии, который неоднократно арендовал доступ к Mirai для проведения атак на сеть Олимпийских игр в Рио, и в какой-то момент подверг ее бомбардировке трафиком более чем пол-терабита в секунду.
Сам Парас пару раз использовал Mirai против своего старого мальчика для битья, IT-отдела Университета Ратгерса, в основном просто ради мстительного развлечения. В другой раз он попытался использовать ботнет для прямого вымогательства средств у одного из их бывших клиентов ProTraf, атаковав сервер Minecraft с помощью Mirai, а затем потребовав оплату в биткоинах. Компания не заплатила. Джозайя не одобрил попытку Параса вымогать деньги, и они больше никогда не пытались этого сделать.
По словам Параса, именно их бразильский клиент решил подвергнуть расследователя Кребса DDoS-атаке. Парас проснулся в тот день, прочитал новости о серьезном нападении на Кребса, который стал самой известной жертвой Mirai на тот момент, и почувствовал беспокойство. Он подумал: «Лучше бы это был не наш ботнет». Парас проверил их журналы пользователей и убедился, что ботнет действительно их.
После предыдущих нападок бразильца на сеть Олимпийских игр Парас и Джозайя решили, что этот пользователь, возможно, слишком безрассуден в выборе своих целей. Они попытались ограничить его доступ к Mirai, прекратив его сеансы всего через 10 минут после старта. Но Парас увидел, что бразилец просто вручную возобновлял атаку на сайт Кребса снова и снова.
Парас отправил сообщение Джозайе и Далтону, и они устроили экстренное совещание на частном зашифрованном VoIP-сервере. Друзья решили, что уничтожение веб-сайта очень известного журналиста означает переход красной линии и привлечет к ним ненужное внимание.
К тому моменту им всем было по 19 лет и больше. Они были взрослыми людьми, создавшими откровенно преступное сообщество. Друзья начали понимать, что хайп вокруг Mirai того не стоил. Несмотря на весь ажиотаж, который ботнет вызвал в первые месяцы своего существования, Mirai принес лишь малую часть прибыли, на которую они рассчитывали: всего около 14 000 долларов в криптовалюте. Даже самые крупные DDoS-атаки в мире были для их исполнителей относительно дешевым товаром.
Они задумались, что им делать дальше. Именно Парас предложил новую идею. Их «российский» клиент, несмотря на то, что время от времени арендовал доступ к Mirai, объяснил им, что DDoS – не самый лучший бизнес. Слишком мало денег и слишком много внимания. Он посоветовал рассмотреть возможность сотрудничества с ним, чтобы использовать их навыки создания ботнетов для гораздо более скрытной и прибыльной формы заработка: мошенничества с кликами.
Мы заставим все эти захваченные машины кликать на веб-рекламу с оплатой за клик, а не атаковать жертв, сказал Парас, и сможем зарабатывать десятки тысяч долларов в месяц, незаметно обманывая рекламодателей. Джозайя и Далтон согласились, что нужно начать переход от кибератак по найму к более респектабельному бизнесу на черном рынке.
Но остановить монстра было нелегко. Парас и Джозайя попытались добавить IP-адрес KrebsonSecurity.com в черный список, который, по крайней мере, положил бы конец атаке. Однако было уже слишком поздно.
…Сидя в офисе ФБР в Анкоридже, Аляска, Эллиот Петерсон прочитал новость о том, что Брайан Кребс, журналист, чью работу он хорошо знал, стал жертвой киберпреступников.
Он был шокирован, узнав, что атака поразила Prolexic – фирму, принадлежащую интернет-гиганту Akamai, вся бизнес-модель которой зависела от обработки гигантских потоков трафика, – в такой степени, что фактически заблокировала один из крупнейших цифровых каналов в мире. И все для того, чтобы заставить журналиста замолчать.
Прошло два года с тех пор, как Петерсон увидел живую демонстрацию загрузчика Эллисон Никсон на конференции по киберпреступности в Питтсбурге. Он вернулся на Аляску, где создал в местном небольшом отделении ФБР центр по уничтожению бот-сетей. За несколько дней до описываемых событий он узнал, что в Израиле задержали двух администраторов vDOS – хакеров, с которыми команда Mirai воевала. Петерсон несколько месяцев участвовал в расследовании деятельности vDOS. Арест этих хакеров способствовал тому, что Mirai стал победителем в схватке.
Петерсон был встревожен, понимая, что крах vDOS лишь расчистил поле для игрока, владеющего еще более мощным оружием. С участием Никсон они создали рабочую группу под названием Big Pipes, которая занималась DDoS-атаками и в первую очередь – загадочным новым ботнетом под названием Mirai.
Однако Петерсон столкнулся с юридическим препятствием: чтобы заниматься делом Mirai, ему нужно было доказать, что либо его жертвы, либо создатели находились на Аляске. Однако к этому моменту в сети присутствовали сотни тысяч зараженных устройств: цифровая пандемия охватила почти все страны мира. После службы в морской пехоте, но еще до прихода в ФБР Эллиот Петерсон работал в колледже в Мичигане. Он помогал детям с эмоциональными проблемами и проблемами злоупотребления психоактивными веществами, по сути выступая в качестве консультанта и наставника. Это была необычная роль для будущего федерального агента, но отражала странную гибридную личность Петерсона: строгого, но доброжелательного человека; пастора, психолога и воспитателя в одном лице. Используя эти качества, Петерсон начал охоту на Mirai. Он вежливо расспрашивал посетителей хакерских форумов – публику, которую хорошо узнал за годы работы по отслеживанию сервисов загрузки – не знают ли они хакеров, продающих доступ к Mirai.
Вскоре после начала расследования его команде в офисе в Анкоридже удалось получить полный образец кода Mirai с зараженного устройства и обнаружить, что человек, предположительно, связанный с ботнетом, звонил на сервер управления и контроля, размещенный фирмой по предотвращению DDoS-атак BackConnect.
Петерсон сделал несколько звонков руководству BackConnect, чтобы узнать о сервере Mirai, который они размещали (и который с тех пор переехал в другое место), и спросил, были ли у них контакты с тем, кто его контролировал. Сотрудники BackConnect ответили, что контактов не было, но предположили, что один из их знакомых из компании ProTraf Solutions, Парас Джа, мог иметь контакты с тем, кто стоял за Mirai.
Петерсон позвонил по номеру телефона ProTraf и оставил голосовое сообщение. Парас перезвонил ему. Петерсон вспоминает, что Парас отвечал ему в тон, был вежлив и дружелюбен, и спокойно объяснил, что понятия не имеет о Mirai. Парас постарался поскорее завершить разговор, после чего сразу же позвонил Далтону и Джозайе, и сообщил им, что ФБР идет по их следу.
Друзья запаниковали. Далтон предложил просто отключить инфраструктуру Mirai, уничтожить серверы управления и загрузчика, а также жесткие диски всех компьютеров, которые они когда-либо использовали для управления ботнетом. Затем они могли бы спокойно перейти к более многообещающему бизнесу по мошенничеству с кликами.
У Параса родилась другая идея: как насчет того, чтобы выпустить исходный код Mirai в открытый доступ? Если бы они разместили его публично на хакерских форумах, его бы стали использовать все хакеры в мире. Тогда они сумели бы затеряться в этой толпе, и любопытному агенту ФБР с Аляски или кому-то ещё было бы гораздо труднее идентифицировать настоящего Mirai в потоке атак-подражателей.
Далтон категорически не согласился. Он заявил, что публикация исходного кода только привлечет ещё больше внимания к Mirai, нанесет дополнительный ущерб и побудит правоохранительные органы искать создателей ботнета.
Разговор перерос в полномасштабную перепалку, впервые за всю историю их дружбы. Далтон кричал, что Парас не должен раскрывать код. Парас остался непреклонен. Джозайя безмолвно слушал. Они согласились в том, что в истории с Mirai пора ставить точку, но их мнения по поводу того, что делать с исходным кодом, разделились.
Парас решил действовать самостоятельно. За пару месяцев до того он создал новую учетную запись Sock-puppet на Hack Forums: он назвал ее Анна-Сэмпай, в честь злодейки из японского мультсериала. Он зашел на форум под этим ником, разместил ссылки на страницы загрузки исходного кода Mirai, а также подробное руководство по созданию масштабного самораспространяющегося инструмента для атак на Интернет вещей.
Сообщество Hack Forums отреагировало соответствующим образом, осыпая его похвалами и восхищаясь отточенным программированием Mirai. Некоторые пользователи написали, что это, должно быть, работа профессионалов, а не типичных форумчан-подростков.
Через несколько дней один пользователь сообщил, что он успешно использовал исходный код для создания собственного ботнета Mirai из 30 000 устройств. Другой рассказал, что количество его ботнета достигло 86 000 машин. «Лучший инструмент для хакеров всех времен! Уничтожим всех!» – написал ещё один участник Hack Forums. «Я всегда хотел заполучить ботнет, способный атаковать всю планету DDoS!»
Петерсон был глубоко встревожен, увидев, что код Mirai выложен в сеть. Он считал это безрассудным шагом. Однако, вместо того, чтобы прекратить поиск, как рассчитывал Парас, Петерсон подумал: не его ли расследование вдохновило на это создателей? Имеет ли к этому отношение его разговор с Парасом?
Вскоре после публикации Mirai Петерсон совершил ещё один прорыв: университетские исследователи, работающие с анти-DDoS-группой Big Pipes, рассказали ему, что нашли зацепку в журналах их машин-приманок, предназначенных для мониторинга интернет-сканирования. Они увидели, что инструмент сканирования прото-Mirai – возможно, самая ранняя версия разведывательного кода ботнета – проверял их устройства с IP-адреса, находящегося в США.
Петерсон связался с хостинговой компанией IP, чтобы узнать личность владельца адреса. Им был Джозайя Уайт, соучредитель ProTraf. Агент ФБР снова позвонил в ProTraf и на этот раз поговорил с Джозайей, сохраняя тот же дружелюбный тон. Джозайя, застигнутый врасплох открытием Петерсона, нервно признался, что да, он «провел кое-какое сканирование». В конце концов, сканирование Интернета не является преступлением. Он отказался отвечать на дальнейшие вопросы и повесил трубку.
Петерсон был впечатлен оперативной безопасностью команды Mirai: тщательное распределение прокси-серверов, тупики, в которые он заходил, отслеживая эти связи, «документы», которые он находил для учетных записей обработчиков Мирай, – все это, казалось, поначалу вводило его в заблуждение. Но теперь, спустя всего несколько недель после начала расследования, он знал, что ранняя ошибка Джозайи в сканировании позволила ему обойти все эти уловки и попытки ввести в заблуждение.
Его команда начала рассылать запросы провайдерам электронной почты и интернет-услуг в отношении каждой учетной записи, связанной с одноразовыми профилями, которые Парас создал для Mirai, а также с профилями самих Параса и Джозайи и ProTraf Solutions.
Копаясь на хакерских форумах, Петерсон также заметил, что есть еще один интересный аккаунт, который иногда вмешался в сообщения Анны-Сэмпай – некто по имени Fireswap. Поэтому Петерсон отправил в Hack Forums юридический запрос на адрес электронной почты Fireswap – fireswap1337@gmail.com – а затем запросил у Google метаданные подписчика этого пользователя.
Просматривая логины в учетной записи Google Fireswap, зарегистрированной на пользователя по имени Боб Дженкинс, он увидел, что они связаны с тем же IP-адресом VPN или прокси-сервером, который использовался для создания фальшивых документов Mirai. Но в некоторых случаях у «Дженкинса» был другой IP: тот же, который Парас использовал для подключения к своей учетной записи электронной почты ProTraf.
Парас никогда не подозревал, что следователю придет в голову заглянуть в одноразовый аккаунт, который он создал исключительно для того, чтобы подбадривать себя на хакерских форумах и нападать на недоброжелателей. Теперь он стал недостающим звеном, связывающим его с Mirai.
До тех пор Петерсон ничего не слышал о Далтоне Нормане. Но теперь он верил, что нашел двух создателей Mirai. Конец их киберпреступной карьеры уже был виден. Но хаос, который они вызвали в Интернете, только начинался. Как только Mirai выпустили на свободу и он начал воспроизводиться, ботнет не сразу взорвал Интернет. Это заняло три недели.
Утром 21 октября 2016 года Эллисон Никсон только приступила к работе, когда коллега сообщил ей, что наблюдается какой-то серьезный сбой в Интернете.
Система доменных имен – это механизм, который преобразует удобочитаемые доменные имена в IP-адреса, которые фактически направляют интернет-трафик на компьютеры, на которых размещены службы. DNS – это то, что позволяет ввести «Google.com» вместо 2001:4860:4000:0:0:0:0:0, например, чтобы сообщить браузеру о необходимости загрузки поисковой системы.
В то утро система доменных имен десятков веб-сайтов, казалось, была повреждена. Интернет-пользователи по всей территории США вводили в браузеры имена, которые нужно было перевести в числа, но безуспешно.
Когда команда Никсона попыталась отправить DNS-запросы на некоторые из пострадавших сайтов, включая социальные сети, потоковые сервисы, банковские сайты и десятки крупных сервисов, к которым тщетно пытались получить доступ Скотт Шпиро и миллионы других пользователей, они увидели, что все сайты используют одного и того же DNS-провайдера из Нью-Гэмпшира, фирму Dyn. На тот момент Никсон этого не знала, но от сети были отключены не менее 175 000 веб-сайтов.
В поисках первопричины происходящего Никсон проверила журналы атак, созданные ее «печальными» видеорегистраторами – к тому моменту у ее команды уже было несколько таких приманок. И действительно, она увидела, что вариант Mirai, один из многих подражателей, появившихся за несколько недель после того, как Paras опубликовал исходный код, безжалостно бомбардировал DNS-сервер Dyn игровой сети Sony PlayStation. Последствия атаки, очевидно, распространились на всю систему DNS Dyn.
Кто-то использовал свой ботнет-подражатель для троллинга компании, производящей видеоигры (типичное поведение пользователей Hack Forums). Сопутствующим ущербом стало самое масштабное отключение интернета в истории.
Мега-DDoS, о котором всегда предупреждала Никсон, наконец-то наступил. Вскоре после начала атаки на Dyn Никсон связалась с его сотрудниками и поделилась доказательствами, указывающими на Mirai, о чем Dyn до этого момента только подозревал. Несмотря на всю обеспокоенность, сотрудники сервиса были уверены, что смогут справиться с проблемой и вернуть свои серверы в оперативный режим.
Однако затем Dyn начал по-настоящему обваливаться.
Записи DNS функционируют как своего рода иерархическое телефонное дерево. Крупные службы, такие как Google и Comcast, имеют свои собственные DNS-серверы, готовые отвечать компьютерам, запрашивающим IP-адрес домена, и лишь периодически проверяют «авторитетный» DNS-провайдер – в данном случае Dyn.
Через несколько минут после атаки Mirai у Dyn уже были проблемы, поскольку DNS-серверы, настроенные каждые 15, 30 или 60 секунд проверять наличие новых записей DNS, атаковали перегруженные «авторитетные» серверы компании. Не получая ответа, они запрашивали снова и снова.
Но со временем серверы Dyn перестали работать, и хор DNS-запросов начал включать в себя основные сервисы, которые проверяют свои данные только каждый час. И затем те, которые проверяют каждые два часа. И три. Теперь все они присоединялись к толпе, непрерывно стучащей в двери Dyn. Некоторые интернет-сервисы даже разработали свои системы DNS таким образом, чтобы они автоматически запускали новые DNS-серверы и запрашивали ответы, когда существующие не получали ответа, что увеличивало поток запросов.
«Как только начался каскадный сбой, все очень, очень занервничали», – вспоминает сотрудник, работавший в Dyn в день атаки. «До этого графики выглядели тревожно, но не катастрофически. Но затем цифры начали стремительно расти».
Другими словами, атака вызвала цепную реакцию. Система каталогов IP-адресов в Интернете сама по себе была DDoS-атакой. В то же время Dyn подвергся своего рода параллельной DDoS-атаке, когда люди стали требовать ответов практически в той же каскадной структуре. Разгневанные корпоративные клиенты с неактивными веб-сайтами начали бомбардировать телефонные линии Dyn. Неспособное ответить на запросы руководство передавало их по организационной структуре инженерам, которые уже были полностью перегружены.
Ситуацию усугубило почти комическое совпадение: в тот самый день команда сотрудников Dyn ждала, что Oracle подпишет документы о заключении сделки по приобретению их компании, как сообщалось, за более чем 600 миллионов долларов. Никто не менеджеров среднего звена не хотел быть сотрудником который не смог обеспечить доступ к Интернету в этот знаменательный день – в первый день, когда за ним наблюдали новые боссы. На фоне всего этого хаоса начались разговоры о том, что за атакой стоит Китай или Россия, и это мощная хакерская операция, спонсируемая государством.
К полудню Dyn сумел взять атаку под контроль и начал по частям отправлять DNS-ответы своим клиентам. Но общий экономический ущерб от отключения значительной части глобального Интернета на полдня трудно измерить. Sony, чья сеть PlayStation Network была первоначальной целью атаки, сообщила о предполагаемой потере чистой прибыли в размере 2,7 миллиона долларов. После атаки Dyn на какое-то время потеряла примерно 8% своих законтрактованных веб-доменов (всего более 14 000) и миллионы долларов доходов.
В это время Парас, Далтон и Джозайя наблюдали, как ботнет, построенный на их коде, ломает магистраль Интернета. Парас вспоминает, как был шокирован тем, что это оказалось так просто: клон Mirai, осуществивший атаку, использовал менее 100 000 устройств, что составляло лишь часть их первоначального ботнета. Далтон испытывал мрачное чувство удовлетворения из серии «я же вам говорил». Он оказался прав, предвидя опасности, связанные с публикацией исходного кода. В то же время, он был горд тем, что люди, осуществившие эту потрясающую атаку, даже не обновили их код. «Никаких инноваций не было вообще», – говорит он.
Джозайя, который уже имел самый тесный контакт с ФБР, был обеспокоен больше всех остальных. К тому времени его семья переехала из сельской местности Пенсильвании в трехэтажный дом в соседнем городе Вашингтон. Именно там, сидя в кладовой на цокольном этаже, которую он теперь использовал в качестве рабочего места, он прочитал о катастрофе Dyn.
Что касается Эллиота Петерсона, то он провел день в офисе ФБР в Анкоридже, отвечая на звонки от всевозможных агентств и чиновников. За месяц его дело превратилось в международный скандал, предмет острого интереса Министерства внутренней безопасности и репортеров, задающих вопросы на пресс-конференциях в Белом доме.
Было неизвестно, кто создал подражателя Mirai, напавшего на Dyn. Но Петерсон был уверен, что знает, кто создал сам Mirai и передал код злоумышленникам. Настало время нанести визиты Джозайе и Парасу.
Было около шести утра, задолго до восхода солнца тем январским утром, когда Джозайя услышал стук в дверь.
Два месяца он ждал рейда. Теперь он придерживался ночного графика: работал за компьютером с Парасом и Далтоном до 3 или 4 часов утра, затем ложился спать до 8 утра, а затем направлялся в мастерскую по ремонту компьютеров своего отца. Но в ту ночь он совсем не спал.
Когда раздался грохот и его старший брат поспешил наверх из их общей спальни на цокольном этаже, Джозайя вошел в кладовую и быстро выключил свои компьютеры. Все создатели Mirai старались взламывать удаленные серверы и подключаться к ним только с эфемерных виртуальных машин, работающих на их собственных ПК. Поэтому он решил, что выключение компьютеров сотрет все оставшиеся данные в памяти. Затем, прежде чем выключить телефон, он отправил Парасу сообщение с помощью приложения для зашифрованных сообщений Signal: «911».
Джозайя надел спортивные штаны и схватил футболку. Он поднялся по лестнице и шел по темному коридору, все еще пытаясь надеть рубашку через голову, когда в лицо ему направили свет фонарика, прикрепленного к пистолету. «Брось рубашку», – сказал ему агент.
Джозайю загнали на крыльцо, где уже находились все члены его семьи. Там его ждал Эллиот Петерсон, который своим мягким голосом сказал: «О, привет, Джозайя. Я надеялся, что мы не встретимся при таких обстоятельствах. Но вот я здесь».
Затем агенты разрешили всем вернуться в дом. Пока шел обыск, Джозайя оделся и уселся в гостиной. Помимо Петерсона, в рейде принимали участие местные сотрудники ФБР Питтсбурга и офицеры французской специальной разведки. Обыск продлился два часа, агенты забрали компьютеры, жесткие диски и телефон Джозайи. Петерсон попросил Джозайю и его родителей зайти в столовую, чтобы поговорить. «Вы, наверное, знаете, почему я здесь», – сказал Петерсон. Джозайя ответил, что может догадаться.
Разговор длился около получаса. Джозайя отрицал свою причастность к Mirai. Агент ФБР предупредил Джозайю, чтобы он никому не рассказывал об обыске, не зная, что Джозайя уже отправил Парасу предупреждение «911». Затем он ушел.
Родители сказали Джозайе, что пришло время признаться. Джозайя рассказал им суть. Его родители слушали с каменными лицами, слишком напуганные будущим своего сына, чтобы злиться. Отец сказал ему: им придется доверить судьбу Джозайи Богу.
На следующий день с обыском пришли в дом Параса. Покинув дом Джозайи, Петерсон проехал более 350 миль через Пенсильванию в Нью-Джерси. В 6 утра Парас услышал тот же стук в входную дверь дома своей семьи, куда он приехал из Ратгерса на зимние каникулы.
Благодаря предупреждению Джозайи, второй рейд имел гораздо меньший устрашающий эффект, чем первый: Парас тщательно удалил все улики со своих компьютеров и выключил их задолго до прибытия агентов ФБР. В попытке найти спрятанные устройства хранения данных, агенты выпустили собаку, обученную чувствовать запах клея, используемого в компонентах компьютерного оборудования.
Когда Парас увидел Петерсона лично, его первой реакцией было раздражение из-за того, что этот бодрый агент ФБР проделал путь с Аляски, чтобы перевернуть его дом с ног на голову. Петерсон поинтересовался у Параса, рассказал ли ему Джозайя о том, что накануне у него прошел обыск. Петерсон рассчитывал на то, что Джозайя промолчит, и Парас почувствует себя преданным из-за того, что друг его не предупредил. Но Парас улыбнулся и сказал, что да, Джозайя его предупредил. Как и Джозайя, Парас отказался признаться в любых связях с Mirai.
Семья Параса была глубоко потрясена рейдом. Но, когда агенты ушли, он заверил родителей, что все это недоразумение, и он понятия не имеет, почему этот агент ФБР с Аляски так на нем зациклен. Он не сделал ничего плохого.
Парас, Джозайя и Далтон обсудили рейды и пришли к крайне оптимистическому выводу: у федералов, похоже, на них ничего нет. Они согласились, что обыски были тактикой запугивания, но не увенчались успехом.
В тот день, когда ФБР обыскало дом Параса, Брайан Кребс опубликовал сенсационную статью, в которой предположил, что Парас, скорее всего, стоял за «Анной-Сэмпай», и помогать ему мог Джозайя. Кребс работал со своими собственными источниками, собирая воедино многие из тех данных, которые оказались в распоряжении ФБР. Парас публично отверг обвинение. В конце концов, ФБР уже приняло меры и, похоже, не нашло ничего, что могло бы доказать их вину.
Прошли месяцы, они оставались на свободе. И решили продолжить мошенничество с кликами. Это новое предприятие оказалось гораздо более прибыльным, чем Mirai, до такой степени, что они даже не могли себе представить.
Чтобы избежать связи с их слишком дискредитировавшим себя ботнетом, они создали новый, на этот раз ориентированный на устройства в основном в США, поскольку они могли заработать больше всего, продавая доступ к американским компьютерам для получения кликов по американской рекламе. К весне 2017 года они спокойно имели стабильный доход в размере 50 000 долларов в месяц. Эти средства выплачивал в криптовалюте их деловой партнер, который, судя по всему, был выходцем из Восточной Европы.
Парас и Джозайя в основном копили деньги, ожидая возможности попытаться отмыть их посредством законного бизнеса, хотя к тому времени они наконец сдались и убили ProTraf. Далтон был менее осторожен. Он потратил десятки тысяч долларов на покупку 70-дюймового телевизора с плоским экраном для своих родителей (он сказал им, что заработал деньги на торговле криптовалютой) и модернизацию своего домашнего компьютера. Даже после того, как друзья отказались от Mirai, их код продолжал засорять глобальный Интернет. Атаки Mirai поразили британские банки Lloyds Banking Group и Barclays, периодически выводя Lloyds из строя, в то время как Barclays отражал натиск. Другой удар поразил главного оператора мобильной связи в Либерии, со скоростью трафика около 500 гигабит в секунду, что привело к отключению большей части связи в этой западноафриканской стране.
Но Mirai и его многочисленные вредоносные потомки больше не были проблемой его создателей. Трое молодых людей наконец-то добились успеха в сфере киберпреступности. Далтон говорил себе: «Через год мы либо разбогатеем, либо окажемся в тюрьме».
Спустя несколько месяцев Джозайя снова получил известие от Эллиота Петерсона. Агент ФБР попросил его приехать в Анкоридж, чтобы поговорить. Прокуроры должны провести заседание, на котором они изложат доказательства против него. К этому моменту у Джозайи появился адвокат, который порекомендовал ему пойти на встречу и не рассказывать об этом своим друзьям. На этот раз он послушался.
Летом 2017 года Джозайя с матерью прилетел в Анкоридж. Утром в день встречи с прокурорами он, одетый в строгий костюм, вошел в здание Министерства юстиции Анкориджа. Петерсон был там и поприветствовал Джозайю и его мать, предложив им развлечься, пока они были в городе, словно это были семейные каникулы.
Помощник прокурора, который вел дело Mirai, запустил презентацию в PowerPoint, проецируемую на экран в конференц-зале. Он начал с демонстрации принципов вынесения приговоров за нарушение Закона о компьютерном мошенничестве и злоупотреблениях, показав, как время тюремного заключения увеличивается в зависимости от суммы причиненного ущерба. Помощник прокурора предположил, что, с учетом ущерба на миллионы долларов, Джозайе грозит шесть или семь лет тюремного заключения, поскольку это первое его правонарушение. Затем правоохранитель подробно изложил доказательства его вины.
Адвокат Джозайи сказал ему и его матери, что он настоятельно советует им заключить сделку о признании вины и что ему «не следует испытывать судьбу» и начать сотрудничать с ФСБ. Джозайя, напуганный угрозой многих лет тюремного заключения, немедленно согласился.
Когда они снова собрались в другом, гораздо меньшем конференц-зале, Джозайя сказал Петерсону и помощнику прокурора, что готов вести переговоры о сделке. Они ответили, что сначала ему нужно рассказать им полную и правдивую историю их преступлений. Он стал подробно рассказывать историю Mirai. Агент ФБР и помощник прокурора были заинтригованы возможностью узнать больше о ключевой роли, которую сыграл Далтон – до этого момента он не был объектом их расследования. Они поразились, узнав, что команда Mirai теперь, даже после их рейдов, участвует в новой схеме ботнета, связанного с мошенничеством с кликами. Они ничего об этом не знали.
Петерсон и помощник прокурора сказали Джозайе, что если он хочет получить хоть какой-то шанс на сделку о признании вины – при этом без обещаний избежать тюрьмы – ему придется сотрудничать на 100%. Это означало и помощь в сборе улик на его друзей.
Джозайя был готов сделать все возможное, чтобы избежать тюрьмы. В Пенсильванию он вернулся уже федеральным информатором. Далтон и Парас стали замечать, что Джозайя ведет себя странно. В ходе групповых созвонов он зачем-то просил их детально рассказать о том, как работает их схема. У них были подозрения, но они не могли заставить себя нарушить негласные условия их дружбы, выступив против Джозайи или исключив его из игры. «Мы оба знали, что что-то не так», — говорит Далтон. «Но у нас не было никаких доказательств». В конце концов, это был их старый друг, легендарный LiteSpeed, которому они были обязаны тем, что стали повелителями ботнетов.
Что касается Джозайи, то годы работы в семейной мастерской по ремонту компьютеров помогли ему подготовиться к новой роли двойного агента. «Когда вы работаете в розничной торговле, вы привыкаете, – говорит он, – общаться с людьми так, как они хотят, чтобы с ними разговаривали».
Несколько недель спустя Парасу позвонил Петерсон и предложил встречу в Анкоридже. Парас рассказал о приглашении Далтону, но не Джозайе, которому уже не доверял. Они согласились, что Парасу имело смысл встретиться с этим агентом ФБР и узнать, что именно на них имеют федералы.
Парас и его отец вылетели в Анкоридж. Вместе с адвокатом Параса они встретились с Петерсоном и Александром (помощником прокурора) в конференц-зале Министерства юстиции. Парас старался сохранять невозмутимое выражение лица, пока помощник прокурор демонстрировал одно изобличающее доказательство за другим. Он показал связи Параса с дескрипторами Mirai и Анны-Сэмпай, а также его учетную запись Fireswap. Затем Александр включил аудиозапись, на которых трое хакеров открыто обсуждают свою новую авантюру по мошенничеству с кликами. Один разговор, произошедший ночью, когда Парас и Далтон напились и потеряли бдительность, был особенно компрометирующим. Для Параса это было первое подтверждение предательства Джозайи.
Через час собрание прервали. Парас сломался. Он был готов сотрудничать. Александр спросил его, говорил ли он кому-нибудь, что летит на Аляску, и он признался, что рассказал об этом Далтону. Александр и Петерсон попросили Параса позвонить Далтону прямо сейчас, на месте, по громкой связи и сказать, что ему не о чем беспокоиться.
Далтон ответил на звонок. И пока представители ФБР и прокуроры сидели за столом и внимательно слушали, Парас заверил Далтона, что все именно так, как они и думали: у федералов на них ничего нет.
Однако в течение следующих трех недель Далтона одолевали чувства тревоги и близкого краха. По его словам, когда федералы наконец прибыли на рассвете, он почувствовал облегчение. Во время обыска, по словам Далтона, его тревога улетучилась. Он изо всех сил старался показать федералам, что он не впечатлен. Когда Петерсон попытался с ним поговорить, Далтон отказался. Имея достаточно времени на подготовку, до прибытия правоохранителей Далтон физически уничтожил все свои самые чувствительные жесткие диски и надежно спрятал диск с биткоинами, полученными от схемы с мошенничеством с кликами.
Как и в случае с Парасом и Джозайей, Петерсон посоветовал Далтону никому не рассказывать об обыске. Но Далтон попытался отправить Парасу закодированное сообщение о том, что на него тоже напали: он неоднократно включал и выключал статус своей учетной записи в сети видеоигр Steam с помощью азбуки Морзе, написав «ФБР».
Парас увидел, как мигает аккаунт Далтона. Но он так и не получил сообщение. Конечно, даже если бы он это сделал, он в любом случае уже несколько месяцев работал с ФБР, собирая компромат на своего бывшего друга.
Вскоре Далтон отправился в Анкоридж, где он и его родители присутствовали на третьей и последней презентации Mirai, которую провели все те же Петерсон и помощник прокурора Александр.
Далтон не проявил никаких эмоций. Но когда все закончилось, он понял, что сопротивляться бесполезно. У них были все доказательства. Когда Далтон неохотно согласился сотрудничать, Петерсон не просил его хранить их договоренность в секрете от Джозайи и Параса. На этот раз он позвонил им обоим. К разговору присоединился Петерсон. Джозайя вспоминает, что это было нечто вроде «воссоединения»: встреча друг с другом теперь, когда они все были на другой стороне.
Во время разговора Джозайя и Парас, казалось, испытывали облегчение от того, что наконец-то могут честно поговорить друг с другом и с Далтоном после нескольких месяцев уловок. Они договорились, что откажутся от всех своих хакерских инструментов и демонтируют ботнет, занимающийся мошенничеством с кликами.
Каждый из адвокатов молодых людей предупредил их: чтобы избежать тюрьмы, им придется сделать все возможное в сотрудничестве с ФБР и прокуратурой. Поэтому, как только они снова оказались в одной команде, Джозайя, Далтон и Парас погрузились в работу с правоохранительными органами с той же одержимой энергией, которую они вкладывали в завоевание Интернета вещей.
Для начала они помогли ФБР выследить своих старых соратников. Именно Парас, создатель Mirai, открывший ящик Пандоры, стал активнее других работать под прикрытием, чтобы уничтожить подражателей Mirai.
Поскольку он все еще контролировал имя Анны-Сэмпай, Парасу поручили связаться с создателем одной особенно плодовитой подделки Mirai. Ботнет-подражатель контролировал хакер, жившим недалеко от Портленда, штат Орегон. Он был достаточно дерзок, чтобы раскрыть свое местоположение Анне-Сэмпаю в их чатах и даже пригласить создателя Mirai потусоваться, если тот когда-нибудь окажется в его городе. Парас принял предложение.
Петерсон и Александр выследили подозреваемого и полагали, что знают, кто это. Но у него, судя по всему, не было постоянного адреса – похоже, у парня возникла серьезная проблема с наркотиками (он признался, что употребляет метамфетамин в своих чатах с Анной-Сэмпай). Он бродил по городу от дома к дому, имея с собой лишь рюкзак и ноутбук, который использовал для управления своим ботнетом.
Прилетев в Портленд, Парас предложил ему встретиться в его отеле. Хакер пришел, и два администратора ботнета провели несколько часов в комнате Параса, обмениваясь историями и хакерскими секретами, и даже пригласили других коллег-хакеров присоединиться к разговору через Skype. Тем временем Петерсон и другие агенты ФБР записывали встречу.
В конце концов молодой хакер из Портленда предложил Парасу пойти перекусить в ближайший ресторан Little Caesars. Когда они с Парасом вышли из комнаты, хакер по неосторожности оставил свой ноутбук открытым и даже не удосужился закрыть сеанс видеочата со своими друзьями-хакерами. Эти друзья все еще видели номер отеля через веб-камеру ноутбука, когда Петерсон и еще один агент вошли в комнату и изъяли компьютер в качестве доказательства. Менее чем через час из черного фургона на стоянке отеля вышли федеральные агенты и арестовали хакера, когда тот возвращался в гостиницу в обществе Параса.
После инцидента в Портленде некоторые хакеры, которые только что посмотрели прямую трансляцию рейда на отель, обвинили Параса в том, что он стучит на ФБР. На что Парас ответил, что идея встретиться или даже сходить за пиццей принадлежала не ему, и, возможно, именно его подставили.
Объяснение было настолько убедительным, что Парасу удалось провести ряд последующих тайных операций против множества других подозреваемых в киберпреступлениях по всей стране. Он говорит, что ему едва ли нравилась его роль, но при этом он не чувствовал особой вины. ФБР и Министерство юстиции отказались раскрыть все подробности расследований, которые им помогли провести Парас и два других создателя Mirai. Но Петерсон резюмировал всё это так: «Мы арестовывали владельцев ботнетов и закрывали ботнеты, аресты владельцев которых были невозможны. Мы проделали по-настоящему интересную работу».
Через несколько месяцев, когда у них закончились секретные дела, Петерсон начал давать команде различные задания, многие из которых не имели прямого отношения к Mirai или их старым контактам. Они были благодарны, обнаружив, что больше не выступают в качестве информаторов.
Друзья помогли агенту ФБР осуществить реверс-инжиниринг вредоносного ПО и анализ журналов для выявления жертв ботнета. Они создали программный инструмент, который анализирует блокчейн для отслеживания криптовалюты киберпреступников. В начале 2018 года, когда хакеры начали для усиления своих DDoS-атак использовать серверное программное обеспечение, известное как Memcached, бывшая команда Mirai придумала, как сканировать уязвимые серверы, которые сделали возможным эти атаки, чтобы ФБР могло предупредить владельцев серверов.
Джозайя говорит, что в этой новой роли он не мог не отличаться тем техническим перфекционизмом, которым всегда гордился. «Мне нравится быть лучшим в таких вещах», — говорит он. «Я подумал: «Если мы собираемся над этим работать, то, черт возьми, надо работать как можно лучше».
Парас поначалу выполнял задания Петерсона в основном по совету своего адвоката, но со временем обнаружил, что может получать некоторое удовлетворение от того добра, которое, по его мнению, он теперь делать.
По словам друзей, со временем они увидели в Петерсоне своего рода наставника. Казалось, он проявлял настоящую заботу об их будущем. Они чувствовали, что странное дружелюбие, которое он проявлял во время охоты на них, было не агрессивным прикрытием, а реальным выражением его человечности. «Нам очень повезло, что мы встретили Эллиотта», – говорит Далтон. «Он буквально спас мне жизнь».
Американская система уголовного правосудия имеет историю вынесения довольно суровых приговоров хакерам. В 2010 году двадцатипятилетнего Альберта Гонсалеса приговорили к 20 годам тюремного заключения за кражу десятков миллионов номеров дебетовых и кредитных карт из сетей розничной торговли. В 2017 году арестованный во время отпуска на Мальдивах российский киберпреступник Роман Селезнев был приговорен к 27 годам заключения за массовую кражу данных кредитных карт.
Так что это был весьма радикальный шаг, когда прокуроры по делу Mirai – ботнета, стоящего за несколькими крупнейшими кибератаками в истории – попросили судью приговорить его создателей к нулю дней тюремного заключения.
Адам Александр, помощник прокурора США с Аляски, который представил каждому из трех хакеров презентации PowerPoint, полные доказательств против них, пояснил: его решение частично объяснялось тем, что ни у кого из них не было криминального прошлого или проблем со злоупотреблением психоактивными веществами, которые могли бы заставили их вернуться к былому образу действий. В отличие от многих обвиняемых, друзья могли опереться на поддержку родных и близких.
Самое главное, что к моменту вынесения приговора осенью 2018 года они отработали для Петерсона более тысячи часов, что Александр охарактеризовал в письме судье как «масштабное и уникальное» сотрудничество. Он попросил суд приговорить Джозайю, Далтона и Параса к 2500 часам общественных работ каждого в течение следующих пяти лет. Они должны были выполнять эту работу под надзором того самого агента ФБР, который занимался ими ранее: Эллиота Петерсона.
Эпилог
За годы, прошедшие после того дня, как он сидел в своем доме в Коннектикуте и наблюдал, как рушится цифровой мир, Скотт Шапиро стал своего рода фанатиком Mirai. Профессор права Йельского университета прочитал исходный код, который Парас опубликовал на Hack Forums, распечатал его, внимательно изучил его механику и восхищался его отточенным дизайном.
Он описал Mirai в своей книге Fancy Bear Goes Phishing, в которой история Интернета рассказана на материале ряда выдающихся хакерских атак.
В начале декабря 2021 года, через три года после того, как начался пятилетний испытательный срок создателей Mirai, Шапиро пригласил Джозайю, Параса, Далтона и Эллиота Петерсона выступить перед студентами, изучающими право в области кибербезопасности в Йельском университете, через Zoom.
Петерсон рассказал историю историю Mirai и своего расследования в рамках 45-минутной презентации. Когда он закончил, студенты стали задавать вопросы. Один из них спросил, как друзья оправдывали в своих собственных глазах эти эпические хакерские атаки.
Парас ответил за всех, объяснив, что все происходило постепенно, что от сотен взломанных компьютеров было легко перейти к тысячам и сотням тысяч, и никто не подсказывал им, где провести черту. «Никогда не было скачков», — сказал он. «Мы двигались шаг за шагом».
Другой студент спросил, почему они верили, что смогут спрятаться от ФБР даже после того, как в их домах провели обыски. На этот раз ответил Далтон. Он объяснил классу, что они просто никогда в своей хакерской карьере не сталкивались с препятствием, которое не могли бы преодолеть. Они были подростками. У подростков нет опыта старения, и им свойственно чувствовать себя неуязвимыми перед лицом опасности и смерти.
На протяжении всей презентации, по словам Шапиро, его поражала нервозность трех создателей Mirai и тот факт, что они ни разу не включили свои веб-камеры. Хакерская угроза, которая, как он когда-то был уверен, исходила от могущественных русских хакеров, оказалась всего лишь «мальчиками, которые боятся показывать свои лица».
***
По состоянию на конец октября 2023 года все три испытательных срока создателей Mirai завершились. Парас Джа и Джозайя Уайт вместе работают в финансовой компании. Далтон Норман работает на Эллисон Никсон. Фрагменты созданного ими монстра до сих пор бродят по Интернету. Mirai – «будущее» – упорно цепляется за прошлое. Друзья надеются, что когда-нибудь он навсегда останется в прошлом.