Преступная сеть. Как хакинг вышел на мировой уровень: от вирусов до вмешательства в выборы - Джефф Уайт

«Это была веб-камера», – говорит он.

Получается, что беспрецедентное число мусорных запросов, наводняющих серверы Minecraft, отправляли не зараженные компьютеры из традиционного ботнета. Их генерировали многочисленные новые устройства, подключенные к этим компьютерам. Камеры наблюдения, умные телевизоры, сетевые роутеры – заражению подверглись всевозможные гаджеты по всему миру, и теперь с их помощью на серверы Minecraft отправлялся огромный объем вредоносного трафика[280].

Заинтригованные масштабом атаки, исследователи кибербезопасности стали выяснять, что происходит. Новости оказались тревожными. Многие из задействованных устройств были довольно дешевыми – в конце концов, решив установить веб-камеру в коровнике (как делают некоторые фермеры), вы точно не станете тратиться на высококлассную модель. Из-за этого гаджеты были плохо защищены. Кроме того, многие их владельцы даже не меняли пароли, установленные по умолчанию, считая, что риск взлома невысок (зачем кому-то взламывать камеру в коровнике?). В результате их устройства были подключены к интернету и кто угодно откуда угодно мог напрямую подключиться к ним, захватить управление и скорректировать их программы.

Нашелся человек, который создал вирус для таких устройств. Этот червь получил название Mirai, как японское аниме, и распространялся от устройства к устройству, разыскивая среди них уязвимые, – но были и важные исключения: например, он был запрограммирован таким образом, чтобы обходить стороной IP-адреса Министерства обороны США (очевидно, кто-то усвоил урок из дела Гэри Маккиннона)[281]. Вирус содержал в себе 62 имени пользователя и пароля, которые часто используются на новых устройствах (например, admin и password)[282]. Вводя эти пароли, вирус без проблем проникал во многие плохо настроенные гаджеты.

Сделав пробные шаги по интернету 1 августа 2016 года, Mirai тотчас стал распространяться подобно лесному пожару. По данным международной команды исследователей, за десять минут он заразил одиннадцать тысяч устройств, а за двадцать четыре часа их число перевалило за шестьдесят пять тысяч[283]. В итоге он проник в шестьсот тысяч устройств по всему миру – и это было в двадцать раз больше количества компьютеров в ботнете, который использовался при атаке на PayPal. По иронии судьбы одной из главных мишеней вируса стали камеры видеонаблюдения. Большая часть зараженных устройств находилась в Бразилии, Колумбии и Вьетнаме, но атаковать им приходилось цели из разных стран, и сильнее других пострадали США, Франция и Великобритания[284].

Но кто за этим стоял? Кто хотел нажиться на такой жестокой и безудержной атаке?

По словам Коэльо, когда о вирусе стало известно и исследователи кибербезопасности установили за ним слежку, операторы серверов Minecraft, атакованные Mirai, стали сразу после налетов получать сообщения с предложением решить проблему путем установки системы «противодействия DDoS». Это напоминало классическую мафиозную схему рэкета, в которой владельцу недавно сгоревшего магазина поступает подозрительно своевременное предложение о создании «крыши» для защиты от новых нападений.

В этом случае предложения исходили от компании ProTraf Solutions. Она конкурировала с ProxyPipe, и Коэльо начал замечать отток клиентов. По его оценкам, атака стоила ему не менее полумиллиона долларов упущенной выручки, а также вынудила его потратить время на анализ ситуации и решение проблемы. Некоторые владельцы серверов Minecraft рассудили, что, если им все равно придется платить за защиту от DDoS-атак, они воспользуются подозрительно своевременным предложением ProTraf, которое к тому же было довольно выгодным. На самом деле ProTraf смогла снизить цены потому, что ею владели люди, которые создали и выпустили вирус Mirai.

Девятнадцатилетний Парас Джа и восемнадцатилетний Джозайя Уайт основали ProTraf Solutions примерно в 2013 году. Уайт к тому времени уже не был новичком в сфере услуг по организации DDoS-атак. Ранее под ником Lite Speed он написал новую и весьма эффективную программу для автоматизации атак на сайты[285].

Джа и Коэльо знали друг друга, и, по словам человека, близкого к Джа, одним из мотивов для создания вируса Mirai стало желание Джа устранить конкурента, ударив по его бизнесу. При этом он понимал, что вирус имел и дополнительное преимущество, поскольку привлекал клиентов в ProTraf Solutions – его работающую на законных основаниях компанию, дела у которой шли не слишком хорошо.

Когда их ботнет набрал обороты, Джа и Уайт стали сдавать его в аренду, получая за доступ к нему до трех тысяч долларов[286]. Джа также прикладывал немалые усилия, чтобы сбивать полицию со следа: однажды он взломал компьютер ничего не подозревающей французской семьи из Версаля и стал использовать его в качестве перевалочного пункта для Mirai. Элитный отряд французских специалистов по киберпреступлениям устроил облаву на дом этой семьи и арестовал девятнадцатилетнего парня, но вскоре стало ясно, что следователей завели в тупик[287]. Вероятно, именно из-за подобных фокусов в хакерских чатах Джа называл себя «неприкасаемым хакерским богом». Может, так тогда и казалось, но в сентябре 2016 года Джа и Уайт столкнулись с крепким орешком.

Исследователь кибербезопасности и журналист Брайан Кребс ведет блог Krebs on Security (Кребс о безопасности). Он подробно освещал свое расследование дела группы Mirai, подбираясь все ближе к создателям вируса. Очевидно, они попытались ему отомстить, и червь Mirai обрушил на сайт Кребса атаку мощностью 623 Гбит/с, крупнейшую из всех, когда-либо зарегистрированных[288]. Кребс вышел на тропу войны и через некоторое время установил, что вирус создали Джа и Уайт[289]. ФБР не заставило себя ждать, и обоих преступников арестовали в январе 2017 года. Впоследствии их приговорили к пяти годам условно и 2500 часам общественных работ. Кроме того, их обязали возместить убытки на сумму сто двадцать семь тысяч долларов[290].

Вы напрасно полагаете, что описанная онлайн-заваруха так и не вышла за пределы мира Minecraft. Версия Mirai, созданная Джа и Уайтом, заразила сотни тысяч устройств невинных людей, но ею дело не ограничилось.

Когда правоохранительные органы приблизились к раскрытию нелегального бизнеса Джа по организации DDoS-атак, он сделал еще одну попытку сбить полицию со следа. Впоследствии обвинители заявили, что это решение стало «одним из самых значимых и вредоносных деяний группы Mirai»[291]. 30 сентября 2016 года Джа выложил в открытый доступ исходный код вируса. Теперь кто угодно мог скачать его и изменить по собственному усмотрению. В последующие годы по миру прокатилась волна устроенных таким же образом атак, имеющих катастрофические последствия. Всего исследователи обнаружили тридцать три различных версии вируса, задействованных в атаках в разных странах[292].

В число тех, кто подхватил это оружие, вошел Дэниел Кей, которого полиция позже назвала «одним из