美國司法部(DOJ)當時時間12月13日公開的法庭文件顯示,三名黑客承認創建Mirai惡意軟件,并利用Mirai僵尸網絡對多個目標發起DDoS攻擊。
三人分工明確創建Mirai
三名黑客分別為:帕拉斯-杰哈、約西亞-懷特和道爾頓-諾曼。
認罪協議(Plea Agreement)顯示,懷特創建了Mirai Telnet掃描器;杰哈創建了Mirai僵尸網絡的核心基礎設施,并開發了這款惡意軟件的遠程控制功能;諾曼開發了新漏洞利用。
美國當局表示,針對運行Linux操作系統的設備,三名黑客協作創建了Mirai惡意軟件,Mirai使用Telnet掃描器識別在線暴露的設備,并結合漏洞利用和默認憑證感染不安全的設備,不斷添加到僵尸網絡中。
牽頭調查的美國聯邦調查局(FBI)表示,Mirai僵尸網絡由30萬多臺設備組成,其中大多為數字錄像機(DVR)、監控攝像頭和路由器。
Mirai于2016年8月開始行動,當月便被安全研究人員發現。
提供“DDoS租用服務”開始惡意行動利用Mirai僵尸網絡,這三人在黑客論壇上宣傳Mirai僵尸網絡,提供DDoS租用服務。杰哈似乎還使用Mirai僵尸網絡企圖勒索托管公司。
這種租用服務模式增加了早期確定Mirai DDoS攻擊歸因的難度,尤其針對信息安全記者布萊恩-克雷布斯、法國托管提供商OVH、托管DNS提供商Dyn發起的DDoS攻擊。
三人利用原Mirai僵尸網絡發起攻擊,Mirai一時名聲大噪。針對OVH的DDoS攻擊的流量峰值高達1.1 Tbps,針對Dyn的DDoS攻擊使約26%的互聯網站點陷入癱瘓,Mirai因此“成名”
源代碼公開更多Mirai變種出現此后,杰哈使用網名Anna-senpai進行操作,將Mirai的源代碼公開到網上,其它惡意軟件開發人員因此創建了大量克隆變種,例如Satori,這是目前最新的Mirai變種,12月5日已經激活超過28萬個不同的IP。杰哈大概希望通過無數新的克隆變種將Mirai的蹤跡隱藏起來。目前Mirai僵尸網絡仍在繼續壯大,掃描活動已擴展至南美和北非國家,包括哥倫比亞、厄瓜多爾、巴拿馬、埃及和突尼斯。
法庭文件指出,這三人利用Mirai僵尸網絡進行廣告點擊欺詐,為運營商創造非法利益,部分利益最終流入杰哈、懷特和諾曼的腰包。杰哈在調查中承認,曾于2014年11月~2016年9月對其母校羅格斯大學(Rutgers University)發起多起DDoS攻擊。
京公網安備 11010502049343號