新闻快讯
< >

FBI牵头调查Mirai僵尸网络, 三名“元凶”已认罪

E安全12月15日讯 美国司法部(DOJ)当时时间12月13日公开的法庭文件显示,三名黑客承认创建Mirai恶意软件,并利用Mirai僵尸网络对多个目标发起DDoS攻击。

Mirai僵尸网络 “元凶”水落石出-E安全

三人分工明确创建Mirai

三名黑客分别为:帕拉斯-杰哈、约西亚-怀特和道尔顿-诺曼。

认罪协议(Plea Agreement)显示,怀特创建了Mirai Telnet扫描器;杰哈创建了Mirai僵尸网络的核心基础设施,并开发了这款恶意软件的远程控制功能;诺曼开发了新漏洞利用。

美国当局表示,针对运行Linux操作系统的设备,三名黑客协作创建了Mirai恶意软件,Mirai使用Telnet扫描器识别在线暴露的设备,并结合漏洞利用和默认凭证感染不安全的设备,不断添加到僵尸网络中。

牵头调查的美国联邦调查局(FBI)表示,Mirai僵尸网络由30万多台设备组成,其中大多为数字录像机(DVR)、监控摄像头和路由器。

Mirai于2016年8月开始行动,当月便被安全研究人员发现。

提供“DDoS租用服务”开始恶意行动

利用Mirai僵尸网络,这三人在黑客论坛上宣传Mirai僵尸网络,提供DDoS租用服务。杰哈似乎还使用Mirai僵尸网络企图勒索托管公司。

这种租用服务模式增加了早期确定Mirai DDoS攻击归因的难度,尤其针对信息安全记者布莱恩-克雷布斯、法国托管提供商OVH、托管DNS提供商Dyn发起的DDoS攻击。

三人利用原Mirai僵尸网络发起攻击,Mirai一时名声大噪。针对OVH的DDoS攻击的流量峰值高达1.1 Tbps,针对Dyn的DDoS攻击使约26%的互联网站点陷入瘫痪,Mirai因此“成名”

源代码公开更多Mirai变种出现

此后,杰哈使用网名Anna-senpai进行操作,将Mirai的源代码公开到网上,其它恶意软件开发人员因此创建了大量克隆变种,例如Satori,这是目前最新的Mirai变种,12月5日已经激活超过28万个不同的IP。杰哈大概希望通过无数新的克隆变种将Mirai的踪迹隐藏起来。目前Mirai僵尸网络仍在继续壮大,扫描活动已扩展至南美和北非国家,包括哥伦比亚、厄瓜多尔、巴拿马、埃及和突尼斯。

法庭文件指出,这三人利用Mirai僵尸网络进行广告点击欺诈,为运营商创造非法利益,部分利益最终流入杰哈、怀特和诺曼的腰包。杰哈在调查中承认,曾于2014年11月~2016年9月对其母校罗格斯大学(Rutgers University)发起多起DDoS攻击。

FBI于2017年1月锁定杰哈进行询问调查,美国当局于2017年5月正式指控了这三名嫌疑人。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。