Три подзащитных студента, стоявшие за ботнетом Mirai – онлайн-инструментом, учинившим разрушения по всему интернету осенью 2016 при помощи мощнейших распределённых атак на отказ от обслуживания – в четверг предстанут перед судом на Аляске и попросят судью вынести новый приговор: они надеются на то, что их заставят работать на ФБР.
Джосайа Уайт, Парас Джа и Далтон Норман, каждому из которых было от 18 до 20 лет на момент создания и запуска Mirai, в декабре признали себя виновными в создании вредоносной программы. Ботнет, завладевший доступом к сотням тысяч устройств из «интернета вещей» и объединивший их в цифровую армию, начал своё существование в качестве инструмента для атаки вражеских хостеров игры Minecraft, но впоследствии вырос до онлайн-цунами из вредоносного трафика, вырубавшего целых провайдеров
Создатели, поняв, что их творение оказалось гораздо более мощным, чем они предполагали, запаниковали и выложили его исходный код – это стандартная тактика хакеров, надеющихся, что когда власти доберутся до них, у них не найдётся никакого кода, который не был бы доступен публично, и их нельзя будет легко обвинить в его создании. Публикация кода привела к другим атакам той осенью, в результате одной из которых большая часть интернета стала недоступна на восточном побережье США в один из дней октября.
Согласно судебным документам, правительство США рекомендует, чтобы каждый из этой троицы получил по пять лет условного срока и 2500 часов общественных работ.
Однако нюанс заключается в том, как именно правительство хочет, чтобы они отработали свой срок: «Далее, США просят Суд, по согласованию с комитетом о Пробации, определить общественные работы в виде постоянной работы с ФБР по борьбе с киберпреступлениями и обеспечению кибербезопасности», — говорится в меморандуме приговора.
В отдельном восьмистраничном документе правительство описывает, как за 18 месяцев с момента первого контакта ФБР с троицей, её члены активно работали с агентством и более широким сообществом специалистов по кибербезопасности, применяя компьютерные навыки к работе, не связанной с преступлениями. «Ещё до выдвижения обвинений обвиняемые занялись обширным и исключительным сотрудничеством с правительством США», — писали обвинители, говоря, что их сотрудничество «было примечательно как по масштабу, так и по последствиям».
Оказывается, что троица уже внесла свой вклад в более десяти различных операций, связанных с обеспечением правопорядка и безопасностью страны и всего мира. В одном случае они помогли частным исследователям в поисках хакерской группировки, источника «продвинутой и постоянной угрозы»; в другом они работали с ФБР перед предыдущим Рождеством для ослабления DoS-атак. В судебных документах также содержатся упоминания о том, что троица работала под прикрытием в онлайне и офлайне, отправлялась в командировки для «тайного документирования действий субъектов, находящихся под следствием», и один раз даже работала с правоохранителями другой страны, чтобы «гарантировать использование подозреваемым компьютера в момент выполнения обыска».
Правительство считает, что троица в сумме уже наработала более 1000 часов, помогая агентству, что эквивалентно полугодичному стажу работы.
В этом году обвиняемые работали с ФБР на Аляске, чтобы остановить новую версию DoS, известную, как Memcache, использующую легитимный интернет-протокол, предназначенный для ускорения загрузки веб-сайтов, для перегрузки сайтов отправкой постоянных запросов. Этот малоизвестный протокол был уязвим, в частности, потому, что на многих серверах отсутствовала авторизация, что делало их незащищёнными перед атаками.
В судебных документах описывается, как Норман, Джа и Уайт в марте рьяно принялись за дело, когда атаки начали распространяться в интернете, работали вместе с ФБР и индустрией безопасности над определением подверженных атаке серверов. Затем ФБР связывалось с компаниями и производителями, способными пострадать от этих атак, чтобы помочь смягчить их удар. «Благодаря быстрой работе обвиняемых, объёмы и частота атак Memcache DoS были уменьшены в течение нескольких недель, атаки стали функционально бесполезными, а их объём представлял собой малую долю того, что было изначально», — написано в отчёте обвинителей.
Интересно, что область работы троицы на правительство не была ограничена предотвращением DoS-атак. Обвинители описывают объёмную работу по программированию, проделанную обвиняемыми, включая создание программы для облегчения отслеживания криптовалют и связанных с ней частных ключей в различных валютах. Подробностей о программе в судебных документах не было, но, согласно отчёту, программа принимает на вход различные данные из блокчейнов криптовалют, и переводит их в графический вид, что помогает следователям анализировать подозрительные онлайн-кошельки. «Эта программа и её возможности, созданные при помощи обвиняемых, может серьёзно уменьшить время, которое требуется представителям правоохранительных органов на проведение анализа транзакций, поскольку программа автоматически определяет путь выбранного кошелька», — написано в отчёте.
Согласно источникам, приближенным к делу, расследование Mirai предоставило уникальную возможность походатайствовать за подзащитных, продемонстрировавших прекрасное владение компьютерами, отвлекшее их от нарушений закона и привлекшее на сторону законной деятельности в области компьютерной безопасности.
Правительство указывает на незрелость троицы в своих рекомендациях по вынесению приговора, отмечая «разницу между их онлайн-имиджем, где они были важными, известными и злонамеренными хакерами в области криминальных DoS-атак, и их сравнительно скучными реальными жизнями, в которых они были никому неизвестными, незрелыми молодыми людьми, живущими с родителями». Никого из них до этого не обвиняли в преступлениях, и правительство отмечает попытки всех троих «в позитивном профессиональном и образовательном развитии, проходящем с переменным успехом». Как отмечено в отчёте, «именно отсутствие прогресса в описанных областях и подвигло обвиняемых к криминальным действиям, обсуждаемым здесь».
В отдельном примечании юрист Джосайи Уайта, в год запуска Mirai проходишего домашнее обучение и получившего диплом об окончании Пенсильванской кибершколы, объясняет: «Он совершил ошибку, принял неверное решение, но затем превратил её в весьма полезные действия для правительства и в систему обучения для самого себя».
После поимки создателей Mirai правительство надеется перенаправить их на более продуктивный жизненный путь – начиная с 2500 часов работы совместно с ФБР, специалистами по безопасности и инженерами. Как писали обвинители: «У всех троих будут хорошие перспективы по обучению и трудоустройству, если они решат воспользоваться ими, вместо того, чтобы продолжать заниматься криминалом». Это должно вылиться примерно в целый год работы на ФБР на полный день, который, вероятно, будет разбит на пять лет условного срока.
Интересно, что в судебных документах описывается текущая работа обвиняемых над другими случаями применения DoS-атак, и сказано, что офис ФБР на Аляске продолжает «расследование в отношении множества групп, отвечающих за крупномасштабные DoS-атаки, и стремится продолжить работу с обвиняемыми».
Небольшой киберотряд ФБР в городе Анкоридж появился недавно, и за последние несколько лет стал главным отрядом по борьбе с ботнетами; только на прошлой неделе руководитель подразделения Уильям Уолтон прибыл в Вашингтон для получения награды за работу над делом Mirai из рук директора ФБР – одной из высочайших наград агентства. На той же неделе создатель ботнета Kelihos, российский хакер Пётр Левашов, признал свою вину в суде Коннектикута по другому делу, также совместно работая с подразделением ФБР из Анкориджа и киберотделом из Нью-Хэйвена. Судя по судебным документам, обвиняемые по делу Mirai приложили свою руку и к этому ботнету, помогая разрабатывать скрипты, определявшие жертв Kelihos после неожиданного захвата агентством контроля над ботнетом и ареста Левашова в Испании в прошлом апреле.
Расследование дела Mirai, которым руководили агенты Эллиот Питерсон и Даг Кляйн, интересным образом отозвалось в другом деле Питерсона. В 2014 году агент руководил вынесением обвинительного акта Евгению Богачёву, одному из наиболее разыскиваемых киберпреступников в списке ФБР, который якобы совершил множество финансовых преступлений посредством ботнета GameOver Zeus. В том случае следователи определили, что Богачёв – живший в Анапе – стоит за множеством версий вредоносного ПО, известного как Zeus, любимого средства для хакерских атак в цифровом подполье. Что-то вроде Microsoft Office для онлайн-жульничества. ФБР годами охотилось за Богачёвым по нескольким делам, в то время, как он разрабатывал всё новые, усовершенствованные версии ПО. В 2014 году, во время розыскных мероприятий, связанных с GameOver Zeus, следователи решили, что Богачёв сотрудничает с российской разведкой, чтобы обратить возможности ботнета на сбор разведданных, и разыскивать на заражённых компьютерах секретную информацию в таких странах, как Турция, Украина и Грузия.
Дело GameOver Zeus было одним из ранних примеров распространённых ныне случаев того, как российские преступники сотрудничают с российскими спецслужбами. В сходном случае, о котором стало известно в прошлом году, правительство США описало, как хорошо известный российский хакер Алексей Белан работал с двумя представителями российских спецслужб над взломом Yahoo. Размытие линии, разделяющей онлайн-преступников и спецслужбы России стало ключевым фактором в превращении страны в государство, не признающее международных норм, самым свежим примером чего стал запуск вымогательского вируса NotPetya.
На Аляске в зале суда ФБР предложит свою версию того, как правительство может подходить к решению сходной проблемы. Оно тоже с радостью осваивает экспертный опыт хакеров-преступников, пойманных в пределах страны. Но сначала оно заставляет их прекратить криминальную деятельность, а потом оборачивает их умения работать с компьютером на сохранение безопасности и здоровья глобального интернета.
Автор: SLY_G