როგორ მიაგნო კრებსმა Mirai ბოტნეტის ავტორს – ნაწ.2

პირველი ნაწილი

ვინ არის პარას ჯა?

ProTraf-ს სულ 2 თანამშრომელი ჰყავდა: ერთი ჯოშია ვაითი და მეორე – კომპანიის პრეზიდენტი – 20 წლის ახალგაზრდა პარას ჯა. მან მეშვიდე კლასში დაიწყო პროგრამირების შესწავლა და ახლა სრულყოფილად ფლობს C#, Java, Golang, C, C++, PHP და x86 ASM-ს. მას ასევე მდიდარი გამოცდილება აქვს მაინკრაფტის სერვერების მართვაში და რამდენიმე წელს მუშაობდა Minetime-ში.

კრებსმა იფიქრა, ზუსტად მსგავსი უნარები და ცოდნა სადღაც მინახავსო და მერე გაახსენდა კიდევაც – hackforums-ზე მომხმარებელ Anna-Senpai-ს პოსტში. აღსანიშნავია, რომ მირაის კოდის გამოქვეყნებამდე Anna-Senpai აშკარად დასცინოდა იმ მომხმარებლებს, რომლებიც Qbot-ს იყენებდნენ ბოტნეტების შესაქმნელად. როგორც ჩანს, მისი ხელსაწყოს კოდი ისეთნაირადაა დაწერილი, რომ Qbot-ის ბოტებს შლის და თავად ეშვება, შემდეგ კი შეუძლია თავი დაიცვას როგორც Qbot-ის, ისე ყველა მსგავსი IoT ბოტნეტების შეტევებისგან, რომელიც მისი ვირუსის წაშლას ეცდება. ჰოდა, მოკლედ „თქვენს ბოტებს ვშლი და აბა თქვენ იცით“-ო.

თავიდან ეს მუქარა სერიოზულად არ მიუღიათ ფორუმის დანარჩენ მომხმარებლებს, მაგრამ მათი ბოტების რაოდენობა მართლაც მცირდებოდა. კონკურენტების ჩამოშორების ნამდვილად საინტერესო ტაქტიკაა.

კიბერ უსაფრთხოების კომპანია Flashpoint-ის მკვლევარებმა ალისონ ნიქსონმა და პიერ ლამიმ განაცხადეს, რომ იმ პერიოდში შეინიშნებოდა მოწყობილობათა მასობრივი დაუფლება ახალი სახეობის ვირუსის მეშვეობით, რომელიც ყველა სხვა სახის ვირუსებს შთანთქავდა. მისი კოდი ისეთნაირად იყო დაწერილი, რომ მკვლევართა კომპიუტერზე ნორმალურად არც ეშვებოდა და შეუძლებელი ხდებოდა ვირუსის გაშიფვრა და შესწავლა.

ფორუმზე სხვადასხვა სახელის მქონე ჯგუფების არსებობა ჩვეულებრივი მოვლენაა. მათში გასაწევრიანებლად მსურველი საკუთარ უნარებს წერს და კანდიდატად წარადგენს თავს. ერთი ასეთი ჯგუფი იყო Nightmare, რომელმაც კანდიდატების მიღება გამოაცხადა. სწორედ აქ ჩამოწერა Anna-Senpai-მ საკუთარი მონაცემები. პოსტი დაწერილია 2016 წლის 12 ივლისს:

პოსტიდან კარგად ჩანს, რომ Anna-Senpai-სა და პარას ჯას ზუსტად ერთნაირი კომპიუტერული/პროგრამირების უნარები გააჩნიათ.

უსაფრთხოების კომპანია Incapsula-ს მიერ ჩატარებული ანალიზით დგინდება, რომ პროგრამა, რომელიც Mirai-ის ბოტნეტებს აკონტროლებს, დაწერილია პროგრამირების ენა Go-ში (Golang), ხოლო ვირუსი რომელიც IoT მოწყობილობებზე ეშვება C-ზეა დაწერილი.

პარას ჯას შესახებ ინტერნეტ ნაკვალევის ძიებამ კრებსი parasjha.info ვებსაიტამდე მიიყვანა. რომელიც 2013 წლის ოქტომბერშია დარეგისტრირებული და ახლა გაუქმებულია. თუმცა შენახულია მისი ქეშირებული ვერსია ინტერნეტ არქივის ვებგვერდზე – https://web.archive.org/web/20140122005106/http://parasjha.info/

გვერდი შეიცავს პარას ჯას CV-სა და მის ადრეულ მოღვაწეობას. სხვა ინფორმაციასთან ერთად პარას ჯა ამბობს, რომ მოღვაწეობდა არაერთ მაინკრაფტის სერვერზე და ერთ დღესაც სურს საკუთარი ენტერპრაიზი შექმნას. ამასთან მას გამოქვეყნებული აქვს მისი დაწერილი რამდენიმე პროგრამის კოდი dreadiscool-ის მეტსახელით.

ამ მეტსახელის ძიება გვიჩვენებს, რომ ის დარეგისტრირებული იყო პროგრამირებისა და მაინკრაფტის ბევრ ფორუმზე. მისი პოსტებიდან ჩანს, რომ შეწუხებულია მის მაინკრაფტის სერვერებზე განხორციელებული DDoS შეტევებით, რომლებიც სერვერებს უნადგურებს და ითხოვს რჩევებს იმასთან დაკავშირებით, თუ როგორ შეინარჩუნოს ისინი. რაღაც პერიოდის შემდეგ კი, მიდის დასკვნამდე, რომ უფრო მომგებიანი იქნება შენარჩუნებაზე ზრუნვის მაგივრად, შეტევებისგან დაიცვას თავისი სერვერები. ამან გადააწყვეტინა ახალი საქმე დაეწყო და შეექმნა სერვერების ჰოსტინგის კომპანია, რომელიც კლიენტებს DDoS შეტევისგან დაიცავდა.

Dreadiscool აქტიური მომხმარებელი იყო მაინკრაფტის ფორუმზე spigotmc.org ჯერ კიდევ 2013 წლიდან. აქ ინტერესს იწვევს მისი პროფილის სურათი. სცენა აღებულია კვენტინ ტარანტინოს ცნობილი ფილმიდან „მაკულატურა“, ხოლო ფილმის გმირების ჯულსისა და ვინსენტის ტანზე დაფოტოშოფებულია რეალური პიროვნებების თავები.

მარცხნივ წითელთმიანი არის შანტაჟისტი მომხმარებელი Vyp0r, ხოლო მარჯვნივ DDoS-გან დაცვის კომპანია BackConnect Security-ს თანადამფუძნებელი ტაკერ პრესტონი (Tucker Preston). ეს კომპანია ProxyPipe-ს კონკურენტია და ინტერნეტ მისამართების მიტაცებაშია შემჩნეული. საწოლზე მჯდომი გოგონა არის იაპონური ანიმეს B Gata H Kei-ს პერსონაჟი – Yamada.

როგორც აღმოჩნდა, dreadiscool დარეგისტრირებულია ანიმეების ფორუმზე – MyAnimeList.net, სადაც მომხმარებლები წერენ რომელ იაპონურ ანიმე ფილმებს უყურეს. ჩამონათვალში, 9 ანიმედან ერთერთია „B Gata H Kei“, ხოლო მეორე Mirai Nikki  საიდანაც ბოტნეტმა მიიღო სახელწოდება.

ასევე საინტერესოა Dreadiscool-ის Reddit-ის პროფილი (https://krebsonsecurity.com/wp-content/uploads/2017/01/REDDIToverview-for-dreadiscool.pdf, https://krebsonsecurity.com/wp-content/uploads/2017/01/2overview-for-dreadiscool-1.pdf, https://krebsonsecurity.com/wp-content/uploads/2017/01/3overview-for-dreadiscool.pdf).

თავდაცვის ერთადერთი საშუალება?

თქვენ ალბათ გახსოვთ, კრებსის ვებსაიტზე შეტევას მოჰყვა ფრანგულ კომპანია OVH-ზე 1 ტბ/წმ სიმძლავრის DDoS. ამ შეტევებს მოჰყვა ProxyPipe-სა და მასზე არსებული მაინკრაფტის სერვერებზე მასიური შეტევა, რა დროსაც მირაის ბოტნეტმა მთლიანად გათიშა ProxyPipe-ის DDoS-სგან დაცვის სერვისი. მაშასადამე, OVH-ზე შეტევა სავარჯიშო პლატფორმა აღმოჩნდა.

ვინაიდან შეტევისგან თავის დასაღწევი სხვა გზა აღარ იყო, რობერტ კოელიომ გადაწყვიტა საჩივრით მიემართა იმ ინტერნეტ ჰოსტინგ პროვაიდერებისთვის, რომლებიც მირაი ბოტნეტის საკონტროლო ცენტრს ინტერნეტ კავშირით უზრუნველყოფდნენ. ინტერნეტ მისამართების ანალიზის შედეგად ასეთი კომპანია აღმოჩნდა უკრაინაში ბაზირებული BlazingFast[dot]io, რომელიც მანამდეც ცნობილი იყო მსგავსი საქმიანობით და ახლაც აგრძელებს.

ვინაიდან ამ მიმართვამ შედეგი არ გამოიღო, ახლა კომპანიამ საჩივარი გაგზავნა Voxility-ში, რომელიც BlazingFast-ის DDoS-ისგან დაცვას უზრუნველყოფდა იმ დროს. Voxility-მ განაცხადა, რომ მიიღებდა საჭირო ზომებს, მაგრამ რეალურად არაფერი გაუკეთებია. ასევე არაფერი გაუკეთებია BlazingFast-ის 4 ინტერნეტ პროვაიდერს. მეხუთე საქართველოში კარგად ცნობილი Telia Sonera იყო, რომელიც ფაქტიურად ერთადერთი აღმოჩნდა, რომელმაც მირაის ბოტნეტის კონტროლის ცენტრი გათიშა. მიუხედავად ამისა, ამ ერთი სერვერის გათიშვამაც მნიშვნელოვანი ზიანი მიაყენა ბოტნეტს, რადგან ბოტების საკმაოდ დიდი რაოდენობა ვეღარ უკავშირდებოდა სერვერს და შეტევების ძალა 80 გბ/წმ-მდე დაეცა.

ამის შემდეგ, Anna-Senpai-მ ზუსტად გამოიცნო ვისი ნამოქმედარიც იყო მისი ბოტნეტის დაზიანება და რობერტ კოელიოს დაუკავშირდა, სადაც აღფრთოვანება გამოხატა, ნაწილობრივ ალბათ იმის გამოც, რომ ზუსტად იგივე ტექნიკას იყენებდა თავად Anna-Senpai მისი კონკურენტი Qbot-ის ჩასაძირად და ჰოსტინგ კომპანიებს უკავშირდებოდა მეილით – ogmemes123123@gmail.com. ისინი ვინც უარს ამბობდა Qbot-ისთვის სერვისის შეწყვეტაზე, Mirai-ს ძლიერი DDoS შეტევების მსხვერპლი ხდებოდნენ.

Frantech-ის მფლობელი ფრანჩესკო დიასის შემთხვევა კარგი მაგალითია. Anna-Senpai დაუკავშირდა ფრანჩესკოს jorgemichaels-ის ნიკით და მოითხოვა გაეთიშათ Qbot-ის ბოტნეტისთვის სერვისი, რაზეც უარი მიიღო და ბონუსად რჩევაც: თუ რამე არ მოგწონს, პოლიციას მიმართეო. jorgemichaels-მა ეს შეურაცხყოფად მიიღო, იატაკქვეშა სამყაროს ნუ ეხუმრებიო და ძლიერი DDoS შეტევა გაუშვა. საბოლოოდ ფრანჩესკო იძულებული გახდა შეესრულებინა jorgemichaels-ის მოთხოვნა.

კოელიოსთან საუბრისას Anna-Senpai-მ შენიშნა, რომ ხანდახან ბოტნეტს აქირავებს ხოლმე სხვა ჰაკერებზე – „აი თუნდაც ახლა, ამ ლაპარაკის დროს შეტევა მიდის მაინკრაფტის სერვერ Hypixel-ზე. სკრიპტი მაქვს გაშვებული რომელიც ყოველ 20 წუთში 45 წამით თიშავს სერვერს“ – წერდა ის. ინფორმაციის გადამოწმების შემდეგ აღმოჩნდა რომ Hypixel-ზე ნამდვილად იყო მსგავსი ძლიერი შეტევები 27 და 30 სექტემბერს. განმეორებითი მცირე დროის შეტევები არა მხოლოდ ფულს აკარგვინებს მაინკრაფტის სერვერს, არამედ მომხმარებელთა ძლიერ გაღიზიანებას იწვევს.

საუბარში Anna-Senpai-მ ისიც თქვა, კრებსის საიტზე შეტევა ჩემი ნამოქმედარი არააო. “applej4ck”-სა და “p1st0”-ს დაპატიმრების გამო, ერთი კლიენტი გაბრაზებული იყო, იმას მივაქირავე სერვერი და მერე რო ვნახე, კრებსისთვის დაურტყამსო. ეგ რო ვნახე მისი საიტი whitelist-ში შევიყვანე, მაგრამ Akamai-ს უკვე გაგდებული ყავდაო. კრებსი კაი ტიპია და მაგრად გამიტყდაო. (სტილი დაცულია ცენზურის გათვალისწინებით).

რობერტ კოელიო დამოუკიდებლად მივიდა დასკვნამდე, რომ Dreadiscool არის Anna-Senpai, რეალობაში – პარას ჯა. ამაში მას მისი პარტნიორი ერიკი დაეხმარა, რომელმაც აღმოაჩინა რომ მირაის კოდი ძალიან ჰგავდა Dreadiscool-ის GitHub-ზე გამოქვეყნებულ კოდს.

ან ფული ან DDoS!

16 დეკემბერს გამართულ ვებინარზე, უსაფრთხოების კომპანია Digital Shadows გამოთქვა მოსაზრებები Anna-Senpai-ს რეალური იდენტობის შესახებ. მათი ინფორმაციით მისი ძველი ნიკი იყო Ogmemes123123, ხოლო მეილი Ogmemes123123@gmail.com. აღნიშნული მეილი გამოყენებული იყო ფეისბუქის პროფილში სახელით OG_Richard_Stallman.

პროფილში აღნიშნულია, რომ OG_Richard_Stallman-მა 2015 წელს სწავლა დაიწყო Rutgers-ის უნივერსიტეტში. ალბათ არ გაგიკვირდებათ თუ ვიტყვით, რომ პარას ჯა სწორედ Rutgers-ის უნივერსიტეტში სწავლობს 2015 წლიდან. იმ პერიოდიდან უნივერსიტეტმა არაერთი DDoS შეტევა განიცადა. მოგვიანებით ბლოგერისთვის მიცემულ ინტერვიუში OG_Richard_Stallman ამბობს, რომ მას საათში $500 დოლარს უხდიდნენ უნივერსიტეტზე შეტევისთვის.

OG_Richard_Stallman კიდევ ერთი პიროვნებითაა დაკავშირებული Anna-Senpai-სთან და ესაა, ჩვენს მიერ ზემოთ ნახსენები ფრანჩესკო დიასი, Frantech-ის მფლობელი. მისი თქმით, Richard Stallman-მა სკაიპში დაამატა და 10 ბიტკოინი მოითხოვა შეტევის თავიდან აცილების სანაცვლოდ, რომელიც 4 საათში გადაუხდელობის შემთხვევაში, გაორმაგდებოდა.

ანალოგიური გამოძალვა განხორციელდა კიდევ ერთ კომპანიაზე, რომელმაც ანონიმურად დარჩენა ისურვა. OG_Richard_Stallman-ის სახელით დაკავშირებული პიროვნება მათ 350 გბ/წმ შეტევით დაემუქრა, თუ კი შეტევის ყოველი 5 წუთისთვის $100 დოლარს არ გადაიხდიდნენ. კომპანიამ უარი თქვა თანხის გადახდაზე და მართლაც 300 გბ/წმ შეტევა მიიღო. კომპანიამ ეჭვი მაშინვე ProTraf-ზე მიიტანა.

აღიარება

კრებსს დაუკავშირდა ამარ ზუბერი – ერთ დროს ProTraf-ის თანამშრომელი, რომელიც პრეზიდენტ პარას ჯასთან ერთად მუშაობდა. მისი თქმით, პარას ჯამ მასთან აღიარა როგორც მირაის, ისე რუტგერსის უნივერსიტეტზე შეტევები. ზუბერი 2016 წლის ნოემბერში სტუმრობდა პარას ჯას.

“როდესაც მირაის კოდი გამოქვეყნდა, მე პირდაპირ ვკითხე პარასს – შენ გააკეთე ეს? მან თავი დამიქნია და მითხრა – კი. შემდეგ კი დაიწყო ბაქიობა იმაზე, რომ FBI-დან მირაის თაობაზე აგენტები დაუკავშირდნენ, რომლებიც მაგრად გააცურა. აგენტთან მიმოწერებიც მანახა. საკუთარი თავით ძალიან კმაყოფილი იყო, რომ პრობლემა ასე მარტივად აირიდა თავიდან“ – უამბო ამარ ზუბერმა კრებსს.

კომენტარი თავად პარას ჯამაც გააკეთა. მისი თქმით, მას არც მირაის დაწერაში მიუღია მონაწილეობა და არც  რუტგერსის უნივერსიტეტის შეტევასთან ჰქონია რაიმე საერთო, თუმცა FBI-ს დაკავშირებასა და ამარ ზუბერის მასთან სტუმრობას ადასტურებს.

„ჩემი აზრით, საკმარისი მტკიცებულებები არ არსებობს იმისთვის, რომ ვინმემ ჩემსკენ ხელი გამოიშვიროს.“ – ამბობს ჯა – „ამ სტატიამდე მე არავინ მიცნობდა და არანაირი ინფორმაცია არ არსებობს რომ როდისმე მსგავს საქმიანობას ვეწეოდი. სოციოპათიური ქცევები არასდროს მახასიათებდა, ამ სტატიის ავტორი კი ნამდვილად სოციოპათია“.

როგორც იტყვიან, კომენტარი ზედმეტია.

 

რობერტ კოელიოსა და Anna-Senpai-ს სრული მიმოწერა შეგიძლიათ იხილოთ ბმულზე: https://krebsonsecurity.com/wp-content/uploads/2017/01/annasenpaichat.txt.