«Это была веб-камера», – говорит он.
Получается, что беспрецедентное число мусорных запросов, наводняющих серверы Minecraft, отправляли не зараженные компьютеры из традиционного ботнета. Их генерировали многочисленные новые устройства, подключенные к этим компьютерам. Камеры наблюдения, умные телевизоры, сетевые роутеры – заражению подверглись всевозможные гаджеты по всему миру, и теперь с их помощью на серверы Minecraft отправлялся огромный объем вредоносного трафика[280].
Заинтригованные масштабом атаки, исследователи кибербезопасности стали выяснять, что происходит. Новости оказались тревожными. Многие из задействованных устройств были довольно дешевыми – в конце концов, решив установить веб-камеру в коровнике (как делают некоторые фермеры), вы точно не станете тратиться на высококлассную модель. Из-за этого гаджеты были плохо защищены. Кроме того, многие их владельцы даже не меняли пароли, установленные по умолчанию, считая, что риск взлома невысок (зачем кому-то взламывать камеру в коровнике?). В результате их устройства были подключены к интернету и кто угодно откуда угодно мог напрямую подключиться к ним, захватить управление и скорректировать их программы.
Нашелся человек, который создал вирус для таких устройств. Этот червь получил название Mirai, как японское аниме, и распространялся от устройства к устройству, разыскивая среди них уязвимые, – но были и важные исключения: например, он был запрограммирован таким образом, чтобы обходить стороной IP-адреса Министерства обороны США (очевидно, кто-то усвоил урок из дела Гэри Маккиннона)[281]. Вирус содержал в себе 62 имени пользователя и пароля, которые часто используются на новых устройствах (например, admin и password)[282]. Вводя эти пароли, вирус без проблем проникал во многие плохо настроенные гаджеты.
Сделав пробные шаги по интернету 1 августа 2016 года, Mirai тотчас стал распространяться подобно лесному пожару. По данным международной команды исследователей, за десять минут он заразил одиннадцать тысяч устройств, а за двадцать четыре часа их число перевалило за шестьдесят пять тысяч[283]. В итоге он проник в шестьсот тысяч устройств по всему миру – и это было в двадцать раз больше количества компьютеров в ботнете, который использовался при атаке на PayPal. По иронии судьбы одной из главных мишеней вируса стали камеры видеонаблюдения. Большая часть зараженных устройств находилась в Бразилии, Колумбии и Вьетнаме, но атаковать им приходилось цели из разных стран, и сильнее других пострадали США, Франция и Великобритания[284].
Но кто за этим стоял? Кто хотел нажиться на такой жестокой и безудержной атаке?
По словам Коэльо, когда о вирусе стало известно и исследователи кибербезопасности установили за ним слежку, операторы серверов Minecraft, атакованные Mirai, стали сразу после налетов получать сообщения с предложением решить проблему путем установки системы «противодействия DDoS». Это напоминало классическую мафиозную схему рэкета, в которой владельцу недавно сгоревшего магазина поступает подозрительно своевременное предложение о создании «крыши» для защиты от новых нападений.
В этом случае предложения исходили от компании ProTraf Solutions. Она конкурировала с ProxyPipe, и Коэльо начал замечать отток клиентов. По его оценкам, атака стоила ему не менее полумиллиона долларов упущенной выручки, а также вынудила его потратить время на анализ ситуации и решение проблемы. Некоторые владельцы серверов Minecraft рассудили, что, если им все равно придется платить за защиту от DDoS-атак, они воспользуются подозрительно своевременным предложением ProTraf, которое к тому же было довольно выгодным. На самом деле ProTraf смогла снизить цены потому, что ею владели люди, которые создали и выпустили вирус Mirai.
Девятнадцатилетний Парас Джа и восемнадцатилетний Джозайя Уайт основали ProTraf Solutions примерно в 2013 году. Уайт к тому времени уже не был новичком в сфере услуг по организации DDoS-атак. Ранее под ником Lite Speed он написал новую и весьма эффективную программу для автоматизации атак на сайты[285].
Джа и Коэльо знали друг друга, и, по словам человека, близкого к Джа, одним из мотивов для создания вируса Mirai стало желание Джа устранить конкурента, ударив по его бизнесу. При этом он понимал, что вирус имел и дополнительное преимущество, поскольку привлекал клиентов в ProTraf Solutions – его работающую на законных основаниях компанию, дела у которой шли не слишком хорошо.
Когда их ботнет набрал обороты, Джа и Уайт стали сдавать его в аренду, получая за доступ к нему до трех тысяч долларов[286]. Джа также прикладывал немалые усилия, чтобы сбивать полицию со следа: однажды он взломал компьютер ничего не подозревающей французской семьи из Версаля и стал использовать его в качестве перевалочного пункта для Mirai. Элитный отряд французских специалистов по киберпреступлениям устроил облаву на дом этой семьи и арестовал девятнадцатилетнего парня, но вскоре стало ясно, что следователей завели в тупик[287]. Вероятно, именно из-за подобных фокусов в хакерских чатах Джа называл себя «неприкасаемым хакерским богом». Может, так тогда и казалось, но в сентябре 2016 года Джа и Уайт столкнулись с крепким орешком.
Исследователь кибербезопасности и журналист Брайан Кребс ведет блог Krebs on Security (Кребс о безопасности). Он подробно освещал свое расследование дела группы Mirai, подбираясь все ближе к создателям вируса. Очевидно, они попытались ему отомстить, и червь Mirai обрушил на сайт Кребса атаку мощностью 623 Гбит/с, крупнейшую из всех, когда-либо зарегистрированных[288]. Кребс вышел на тропу войны и через некоторое время установил, что вирус создали Джа и Уайт[289]. ФБР не заставило себя ждать, и обоих преступников арестовали в январе 2017 года. Впоследствии их приговорили к пяти годам условно и 2500 часам общественных работ. Кроме того, их обязали возместить убытки на сумму сто двадцать семь тысяч долларов[290].
Вы напрасно полагаете, что описанная онлайн-заваруха так и не вышла за пределы мира Minecraft. Версия Mirai, созданная Джа и Уайтом, заразила сотни тысяч устройств невинных людей, но ею дело не ограничилось.
Когда правоохранительные органы приблизились к раскрытию нелегального бизнеса Джа по организации DDoS-атак, он сделал еще одну попытку сбить полицию со следа. Впоследствии обвинители заявили, что это решение стало «одним из самых значимых и вредоносных деяний группы Mirai»[291]. 30 сентября 2016 года Джа выложил в открытый доступ исходный код вируса. Теперь кто угодно мог скачать его и изменить по собственному усмотрению. В последующие годы по миру прокатилась волна устроенных таким же образом атак, имеющих катастрофические последствия. Всего исследователи обнаружили тридцать три различных версии вируса, задействованных в атаках в разных странах[292].
В число тех, кто подхватил это оружие, вошел Дэниел Кей, которого полиция позже назвала «одним из самых видных киберпреступников, арестованных в Великобритании»[293].
Сообщается, что Кей, которому был тридцать один год, оттачивал свои хакерские навыки в дарквебе. В 2015 году с ним связался один из высокопоставленных сотрудников либерийской телекоммуникационной компании Cellcom. По данным британской полиции, Кей авансом получал по десять тысяч долларов в месяц за атаки на конкурирующую либерийскую телекоммуникационную компанию Lonestar. Очевидно, появление в свободном доступе кода Mirai позволило ему сделать атаки эффективнее. Создав свою версию ботнета, он с сентября 2016 года осаждал Lonestar, которая в итоге стала самой атакуемой мишенью всех производных Mirai[294]. По данным Национального агентства кибербезопасности, «в ноябре 2016 года объем трафика, исходящего из ботнета Кея, был настолько велик, что Либерия вообще лишилась доступа в интернет»[295].
Другие исследователи (в частности, Брайан Кребс)[296] оспаривали масштаб сбоя, однако не приходится сомневаться, что по Lonestar был нанесен колоссальный удар, который, по данным NCA, «привел к потере выручки в объеме нескольких десятков миллионов долларов США, поскольку клиенты ушли из компании. Корректирующие меры, принятые компанией Lonestar для предотвращения атак, повлекли за собой издержки в районе шестисот тысяч долларов»[297]. Это, впрочем, был лишь один из элементов хакерской кампании Кея. Он также признался в организации атак на Deutsche Telekom, которые сказались на миллионах немецких пользователей[298].
В январе 2019 года Кея приговорили к двум годам и восьми месяцам лишения свободы. Тем временем Mirai продолжает эволюционировать, и отчасти это объясняется тем, что в мире не становится меньше дешевых и слабо защищенных устройств. При этом Mirai – лишь одна часть экономики DDoS, которая существенно разрослась со времен протестов группы