Tre unge, amerikanske menn har ifølge justisdepartementet i USA sagt seg skyldige i blant annet å ha skapt botnettet Mirai, som for alvor ble kjent da det slo ut DNS-tjenestene til selskapet Dyn i oktober i 2016. Dette førte til at en mengde tjenester på internett ble utilgjengelige i bortimot et døgn. Alle disse tjenestene var avhengige av tjenester fra Dyn.
Bakgrunn: Nettsider tilbake etter DDoS-angrep. Også regjeringen.no ble rammet
Unge menn
De tre mennene, Paras Jha (21), Josiah White (20) og Dalton Norman (21), bor i ulike deler av USA, men skal sommeren og høsten 2016 ha samarbeidet om å skape Mirai-nettverket, som utnytter sårbarheter i IoT-enheter – i praksis alle andre typer internettilknyttede enheter enn pc-er, smartmobiler og nettbrett.
Ifølge tiltalen skal de ha forsøkt å finne enheter med både kjente og tidligere uavdekkede sårbarheter, noe som ga dem kontroll over enhetene og gjorde dem til deltakere i det voksende botnettet.
Denne første utgaven av Mirai skal etter hvert ha bestått av flere hundre tusen slike enheter, som blant annet ble brukt til distribuerte tjenestenektangrep (DDoS) mot ulike mål.
De tre skal ikke ha vært brukt den opprinnelige Mirai-varianten etter høsten 2016, da Jha, som regnes som hovedmannen bak det hele, publiserte kildekoden i et undergrunnsforum. I ettertid har tilsvarende botnett, basert på denne kildekoden, blitt opprettet av kriminelle en rekke ganger.
Leste du denne? Hackere hevder å ha ødelagt 10 millioner usikre enheter koblet til internett
Svindel og universitetsangrep
Det betyr ikke at i alle fall to av de tre mennene sluttet å gjøre ugagn. Jha og Norman har også sagt seg skyldige i å ha infisert mer enn 100 000 enheter, stort sett amerikanske, med skadevare som primært ble brukt til annonsesvindel, inkludert «click fraud». Ifølge Reuters skal Jha ha innrømmet å ha tjent omkring 200 bitcoin på dette. Dette skal ha foregått i perioden desember 2016 til februar 2017. På denne tiden var bitcoin-verdien betydelig lavere enn i dag.
Jha skal også ha innrømmet at han i perioden november 2014 til september 2016 utførte alvorlige angrep mot blant annet den sentrale autentiseringsserveren til Rutgers University i New Jersey. Dette førte blant annet til at ansatte ikke fikk logget seg på og at studenter ikke fikk levert inn oppgaver. Angrepene skal i noen tilfeller ha pågått i flere dager.
Det skal ha vært sikkerhetsbloggeren Brian Krebs som først avslørte at Jha var delaktig i Mirai-angrepene. Dette skjedde i januar i år. Jha brukte aliaset Anna-Senpai da han publiserte kildekoden til Mirai-programvaren.
Minecraft
Wired kom i går med en interessant artikkel som forteller om bakgrunnen for de opprinnelige angrepene. Den opprinnelige hensikten til de tre mennene var å oppnå fordeler i forbindelse med spillet Minecraft. Det var først etterpå at de innså hvor kraftig verktøy de hadde lagd.
Problemet: Sørgelig få IoT-enheter blir oppdatert av brukerne
