美国司法部昨天披露称,三名男子就创建Mirai恶意软件并利用Mirai僵尸网络攻击多个目标的事实表示认罪。从法庭文档来看,这三名男子的名字是Paras Jha、Josiah White和Dalton Norman。
联邦机构抓捕Mirai 恶意软件的创建者
美国当局表示这三名男子共同创建了针对运行Linux操作系统的设备的Mirai恶意软件。Mirai 使用Telnet扫描器识别暴露在互联网上的设备,并通过利用代码和常用凭证组合来感染不安全的设备并将它们添加到巨大的僵尸网络中。牵头调查的FBI表示Mirai僵尸网络感染的设备已经超过30万台,它们多数是DVR、安全摄像头和路由器。三名男子在2016年8月左右开始着手策划构建Mirai僵尸网络,而安全研究人员也是在同一时间发现了它的踪迹。
从认罪协议来看,White创建了 Mirai 的Telnet 扫描器,Jha负责僵尸网络的核心基础设施以及远程控制功能,而Norman负责开发新的利用代码。
最开始Mirai 僵尸网络作为DDoS服务出售
这三名男子均在黑客论坛上将 Mirai 僵尸网络作为DDoS 服务进行推销,不过Jha 似乎还自己使用过这个僵尸网络试图破坏一家服务托管公司,这种租赁模式为早期确定 Mirai 僵尸网络来源制造了困难。早期利用Mirai僵尸网络攻击的是信息安全调查记者Braian Krebs、法国服务托管提供商OVH和DNS管理服务提供商Dyn。而Mirai僵尸网络也因受攻击对象的知名度而变得家喻户晓。针对 OVH 的DDoS 攻击达到不可思议的1.1 Tbps,而针对Dyn的攻击让Mirai僵尸网络被人们广泛关注,因为它导致互联网上约四分之一的网站中断服务。
随后,Jha通过网络昵称 Anna-senpai 发布了Mirai的源代码,导致其他恶意软件开发人员创建了无数种Mirai变种,目前最新变种是Satori。Jha这么做的原因应该是希望隐藏Mirai的踪迹,扰乱调查人员的视线。法庭文件还指出,这三名男子使用Mirai僵尸网络将正常流量引流到点击欺诈恶意软件(秘密点击广告)中,为运营人员带来非法牟利的同时也让自己的腰包鼓了起来。另外,Jha还对在创建Mirai恶意软件之前,于2014年11月至2016年9月期间攻击自己的母校罗格斯大学一事供认不讳。
跟Krebs开展的调查结果遥相呼应
今天公布的法庭文档还证实了Brian Krebs针对自己网站的DDoS攻击来源的调查结论,他曾表示Jha和White很可能是Mirai僵尸网络的罪魁祸首。Jha此前曾在2017年1月接受FBI问询,从判决摘要书来看,美国当局在2017年5月份就对三人提起诉讼。