როგორ მიაგნო კრებსმა Mirai ბოტნეტის ავტორს – ნაწ.1

2016 წლის სექტემბერ-ოქტომბერში ჯერჯერობით რეკორდული მოცულობის DDoS შეტევები განხორციელდა. ამას მოჰყვა ჯერ ისრაელელი ჰაკერების დაპატიმრება და შემდეგ სპეცოპერაციები, რომელთა შედეგადაც ჯამში 50-ზე მეტი პირი დააკავეს. ამავე პერიოდში, დაპატიმრების შიშითა თუ სხვა დაუდგენელი მიზეზით, hackforums-ის მომხმარებელმა Anna-Senpai-მ გამოაქვეყნა IoT მოწყობილობებზე დაფუძნებული DDoS ბოტნეტ Mirai-ს კოდი. Anna-Senpai-ს იდენტობის გამოძიებას ბრაიან კრებსმა მიჰყო ხელი. შეგახსენებთ, რომ კრებსი ზემოთ აღნიშნული DDoS შეტევის სამიზნე იყო.

4 თვიანი მუშაობის შემდეგ კრებსმა Anna-Senpai-ს იუზერს ამოფარებულ პიროვნებას მიაგნო. მოვლენები ძალიან საინტერესოდ ვითარდებოდა: ხშირად ჩნდებოდა და იკარგებოდა კვალი, ერთი შეხედვით სრულიად განსხვავებულ მოვლენებს და პიროვნებებს რაღაც საერთო აღმოაჩნდებოდათ, ზოგჯერ დიდი რაოდენობით ინფორმაცია გამოჩნდებოდა – რა თქმა უნდა, დიდი ნაწილი ყალბი იყო, რაც კვალის არევას ემსახურებოდა, ზოგჯერ კი ინფორმაციის ნასახიც არსად ჩანდა. ეს გამოძიება უნიკალურია და უპრიანი იქნება თანმიმდევრობით მივყვეთ მის მიმდინარეობას.

ჯაჭვის პირველი რგოლი

ეჭვები Anna-Senpai-ს ვინაობის შესახებ მაშინ გაჩნდა, როდესაც გაირკვა, რომ Mirai იყო ძველი IoT ბოტნეტების სახეცვლილი რეინკარნაცია. ეს ძველი ბოტნეტები უკვე 3 წელზე მეტია არსებობდნენ.

კრებსის ვებსაიტს ჯერ კიდევ ზაფხულში დაატყდა დიდი მოცულობის DDoS შეტევა, რომელიც Mirai-ს წინამორბედი ბოტნეტის დამსახურება იყო. ინტერნეტში მას სხვადასხვა სახელებით იცნობდნენ, მათ შორის:  Bashlite, Gafgyt, Qbot, Remaiten და Torlus. ეს წინამორბედი ბოტნეტები მუშაობდნენ ერთნაირი პრინციპით: ავირუსებდნენ სისტემებს და შემდეგ გაუჩერებლად ასკანერებდნენ ინტერნეტს სისუსტეების მქონე სხვა მოწყობილობების აღმოსაჩენად და ბოტნეტში ჩასართავად. ეს პროცესი იმდენად აქტიური იყო, რომ სამიზნე როუტერებსა და ვებ კამერებზე დაუგეგმავ DDoS შეტევას იწვევდა და გამოუსადეგარს ხდიდა.

Mirai-ს წინამორბედი ბოტნეტები დიდი ხნის განმავლობაში იხვეწებოდა. ინტერნეტ ხულიგნების დაჯგუფებამ, რომელიც lelDDoS-ის სახელით „მოღვაწეობდა“, 2014 წელს დაიწყო უწყვეტი, ძლიერი DDoS შეტევების განხორციელება, რამაც არაერთი ვებსაიტი გამოიყვანა მწყობრიდან. დაჯგუფების ხშირი სამიზნე იყო მაიკროსოფტის პოპულარული თამაშის Minecraft-ის სერვერები. იმ დროისთვის ამ თამაშის 100  მილიონზე მეტი ასლი იყო გაყიდული და ონლაინში მუდმივად იმყოფებოდა მინიმუმ 1 მილიონი ადამიანი.

Minecraft-ის თითოეულ სერვერს, რომელსაც რამდენიმე ათასი იუზერი მაინც ჰყავს, მფლობელს შეუძლია მოუტანოს $50,000 დოლარი თვეში. გასაკვირი არ არის, რომ ეს ყველაფერი იზიდავდა ისეთ ბანდებს, როგორიცაა lelDDoS. DDoS მაინკრაფტის სერვერების მფლობელისთვის ყოველდღიურად ათასობით დოლარის დანაკარგს ნიშნავდა. როდესაც მომხმარებლები უფუნქციო სერვერს ხედავდნენ სხვა სერვერებზე გადადიოდნენ სათამაშოდ. მაშასადამე შეტევაში მოყოლილი სერვერი კლიენტებს გეომეტრიული პროგრესიით კარგავდა და ზოგჯერ საერთოდ კოტრდებოდა.

ProxyPipe სან ფრანცისკოში ბაზირებული უსაფრთხოების კომპანიაა, რომელიც სპეციალიზდება მაინკრაფტის სერვერების დაცვაზე. 2014 წლის ივნისში lelDDoS-მა ProxyPipe-ზე 300 გბ/წმ სიმძლავრის შეტევა განახორციელა და ამასთან, დაჯგუფებას არ უღალატია ძველი ჩვევისთვის: შეტევის პარალელურად საჯაროდ დასცინოდნენ იმ კომპანიას, რომელსაც უტევდნენ.

იმ დროისთვის ProxyPipe DDoS-სგან დაცვას კომპანია Verisign-გან ყიდულობდა. ამ უკანასკნელმა განაცხადა, რომ შეტევა განხორციელდა 100,000-ზე მეტი ჰოსტის გამოყენებით, რომლებიც კომპანია SuperMicro-ს IPMI-ს ბარათებზე მუშაობდნენ. აქ საინტერესო ისაა, რომ ამ შეტევამდე სულ რამდენიმე დღით ადრე ერთ-ერთმა მკვლევარმა გამოაქვეყნა სტატია  SuperMicro-ს ბარათებზე არსებული სისუსტეების შესახებ, რომლებიც მოწყობილობებზე შეღწევის საშუალებას იძლეოდა.

ვინ ვინ არის?

ProxyPipe-ის ვიცე პრეზიდენტი რობერტ კოელიო იხსენებს, რომ 2015 წლის შუა თვეებში მისი დაცვის ქვეშ მყოფი „მაინკრაფტის“ სერვერები ერთი-მეორის მიყოლებით ექცეოდნენ ძლიერი DDoS შეტევების ქვეშ, რომლებიც ხორციელდებოდა Qbot-ით დავირუსებული IoT მოწყობილობებიდან. ამ შეტევებს კი წინ უძღოდა 17 წლის ქრისტოფერ სკულტი უმცროსის (Christopher “CJ” Sculti, Jr.) მუქარა. სკულტი თავის მხრივ იყო DDoS-გან დაცვის კომპანია Datawagon-ის მფლობელი და კონკურენციას უწევდა ProxyPipe-ს.

იმ პერიოდში მაინკრაფტის რამდენიმე სერვერი უკვე Datawagon-ის კლიენტი იყო და ბიზნესის გასაფართოებლად ქრისტოფერი დანარჩენი სერვერების მფლობელთა კეთილგანწყობის მოპოვებას ცდილობდა. Datawagon-ის სერვერები თავის მხრივ განთავსებული იყო მაინკრაფტის სერვერების დაცვაზე ორიენტირებული კიდევ ერთი კომპანია ProTraf Solutions-ის სივრცეში.

რობერტ კოელიოს თქმით, სწორედ ProTraf Solutions ცდილობდა ProxyPipe-ის უდიდესი კლიენტები გადაებირებინა ბინძური მეთოდებით. მას პირადად კრისტოფერ სკულტი დაუკავშირდა და დაემუქრა, რომ მის სკაიპს გამოუსადეგარს გახდიდა. ამ პერიოდში ინტერნეტის შავ ბაზარზე იყიდებოდა სკაიპის ექსპლოიტი, რომლითაც შესაძლებელი იყო ნებისმიერი სკაიპის აქაუნთის გათიშვა. მუქარა ნამდვილი აღმოჩნდა: დამუქრებიდან სულ რამდენიმე წუთში, რობერტ კოელიოსა და მისი რამდენიმე თანამშრომლის სკაიპები გაითიშა. აღსანიშნავია, რომ ProxyPipe კლიენტების მხარდაჭერას სკაიპით ახორციელებდა.

სკაიპის აქაუნთების გათიშვის პარალელურად, მასიური DDoS შეტევა განიცადა თავად ProxyPipe-მაც. შეტევები რამდენიმე დღე გრძელდებოდა და ამ პერიოდში ProxyPipe-ის ძირითადი კლიენტურა სწორედ ProTraf Solutions-ში გადაბარგდა. რობერტ კოელიომ გააფრთხილა კლიენტები და მათ იცოდნენ ვინ იდგა შეტევების უკან, მაგრამ ისინი ყოველდღიურად დიდი ოდენობით თანხას კარგავდნენ.

ეს ისტორია მნიშვნელოვანი აღმოჩნდა, რადგან სწორედ მსგავსი ამბავი უძღოდა წინ ბრაიან კრებსის ვებსაიტის გათიშვასაც. სკულტი მას პირველად 2015 წლის 7 ივლისს დაუკავშირდა მის სტატიასთან დაკავშირებით და დაიტრაბახა, რომ ასკანირებდა default პაროლების მქონე IoT მოწყობილობებს და საკუთარი პროგრამაც კი ჰქონდა ატვირთული 300,000-მდე სისტემაში. ნაწყვეტი საუბრიდან:

ქრისტოფერი მეორედ 2016 წლის 20 სექტემბერს დაუკავშირდა კრებსს. სკულტი გაბრაზებული იყო კრებსის მიერ იმ დღეს გამოქვეყნებული სტატიით, რომელშიც მისი სახელიც იყო მოხსენიებული. კრებსი ძალიან გააღიზიანა სკულტის საუბარმა და პრობლემა „მარტივად გადაჭრა“ – დაბლოკა სკაიპში. დაბლოკვიდან სულ რამდენიმე წუთში მის სკაიპზე განხორციელდა შეტევა – იგზავნებოდა ათასობით დამატების მოთხოვნა, რამაც სკაიპი გამოუყენებადი გახადა. ამ მომენტიდან 6 საათში კი ცნობილი 620-გბ/წმ შეტევაც დაიწყო.

ვინ წარმოადგენს LELDDOS-ს?

რობერტ კოელიო დარწმუნებულია, რომ lelDDoS ბანდის მთავარი მოქმედი პირები არიან სკულტი და ProTraf-ის მფლობელები. ამის მიზეზად კი იმას ასახელებს, რომ ProxyPipe-ზე 2015 წლის DdoS-ს დაემთხვა scam შეტევა, რა დროსაც შემტევებმა დროებით მიიტაცეს კომპანიის კუთვნილი დიდი რაოდენობით ინტერნეტ მისამართები. ამ სკამის ავტორი იყო ქლაუდ ჰოსტინგის კომპანია FastReturn. მოგვიანებით მისამართების მიტაცების ფაქტი დაადასტურა კომპანია DNS პროვაიდერმა Dyn-მა. შეტევიდან რამდენიმე თვეში კი FastReturn-ის მფლობელი ამარ ზუბერი კომპანია ProTraf-ში გადავიდა სამუშაოდ პროგრამების დეველოპერის პოზიციაზე.

თავად ზუბერის თქმით, ის lelDDoS-ის წევრი არასდროს ყოფილა, თუმცა მისმა კომპანიამ ინტერნეტ მისამართების მიტაცება ნამდვილად განახორციელა. ეს კი იმით ახსნა, რომ იმ დროს ახალგაზრდა, ცნობისმოყვარე ადამიანი იყო და თავის შესაძლებლობებს ამოწმებდა. მისივე განცხადებით, lelDDoS-ის წევრი იყო ქრისტოფერ სკულტი და ProTraf-ის ორი თანადამფუძნებელი. აქ საინტერესო ისაა, რომ 2016 წელს კრებსის ვებსაიტზე შეტევის შემდეგ, ჰაკერულ ფორუმებზე გაჩნდა ინფორმაცია, რომ Bashlite/Qbot-ის ავტორი იყო ProTraf-ის თანამშრომელი ჯოშია ვაითი, რომელიც „DDoS შეტევების გაუვნებელყოფის ექსპერტად“ მუშაობდა. ფორუმებზე ის ცნობილია მეტსახელით LiteSpeed.

LiteSpeed-მა დაადასტურა, რომ Bashlite/Qbot-ის გარკვეული კომპონენტები მისი დაწერილი იყო და ხელსაწყოს გასაჯაროება არასდროს უფიქრია, მაგრამ ჰაკერმა მეტსახელად Vyp0r-მა დააშანტაჟა – შენს პერსონალურ მონაცემებს გავავრცელებ და სპეცრაზმი დაგადგება სახლშიო. ჰაკერისგან ასეთი მუქარა რეალურია, რადგან მას უბრალოდ შეუძლია გაავრცელოს ინფორმაცია, ვითომ ბომბს ამზადებს სახლში ან მძევლები ჰყავს და ამაზე ამერიკული სპეცრაზმი (SWAT) დაუყოვნებელ რეაგირებას მოახდენს.

მეორე ნაწილი

დატოვეთ კომენტარი