Il 21 Ottobre 2016 il provider DNS Dyn fu colpito da un attacco DDoS record (si stima tra gli 800Gbps ed 1Tbps di junk data) che creò seri problemi agli internauti statunitensi: il tracollo di Dyn rese infatti irraggiungibili per molte ore i portali delle compagnie più note della Silicon Valley (e non solo), da Amazon fino ad Airbnb, PayPal, Twitter, Facebook solo per ricordarne alcune.
Da allora le forze dell’ordine e gli investigatori hanno cercato di rintracciare i colpevoli, un lavoro lungo e complesso che sembra tuttavia essere giunto ad una conclusione. La botnet Mirai, dal nome del malware utilizzato per bypassare le difese di migliaia di telecamere di sorveglianza “arruolate” per l’attacco, fu progettata e resa operativa da tre ventenni statunitensi: Paras Jha, Josiah White e Dalton Norman.
I ragazzi, che sono in stato di fermo da Gennaio 2017, hanno confessato di essere gli artefici di tutte le operazioni fraudolente ricollegate alla botnet. L’iter giudiziario, conclusosi proprio questo mese, ha portato alla condanna dei tre (fraud and related activity in connection with computers) che sconteranno fino a 5 anni di reclusione.
Per chi segue regolarmente Hosting Talk, Paras Jha non è una nuova conoscenza. Il suo nome era infatti emerso durante le indagini del giornalista Brian Krebs – il cui blog era stato bombardato a Settembre 2016 da un attacco lanciato grazie al malware Mirai e prossimo ai 620Gpbs (record superato solo un mese dopo da Dyn e mai più eguagliato).
Dettagli sull’operato dei ragazzi e l’utilizzo della botnet
Le creazione della botnet è iniziata nei primi mesi del 2016 ed è stata supervisionata dai tre ragazzi. Jha agiva da operatore mentre gli White e Norman da supporter. In un primo momento la botnet è stata utilizzata come DDoS Cannon, ovvero uno strumento noleggiabile per colpire specifici bersagli; parallelamente al servizio di “renting”, il trio si dedicava al ricattamento di varie aziende (ISP, hosting provider etc.) alle quali veniva richiesto il pagamento di una somma di denaro – in caso contrario sarebbero state colpite da un attacco DDoS devastante.
My attack are extremely powerful now – now average 700-800Gbps, sometimes over 1 Tbps per second. It will pass any remote protections, no current protection systems can help
si leggeva in uno dei tanti messaggi confezionati da Jah e soci – si nascondevano dietro vari pseudonimi (Anna Senpai, OG_Richard_Stallman, ogmemes).
Il rilascio del codice sorgente di Mirai, avvenuto a fine Settembre 2016, è stato architettato da Jha a scopo precauzionale. Nel caso in cui le forze dell’ordine avessero trovato i file del malware in uno dei computer del trio, ha affermato il ragazzo, avrebbero avuto un utile alibi al quale appoggiarsi (il download da Internet).
Negli ultimi mesi del 2016 i ragazzi si sono dedicati al mondo dell’advertising dal quale hanno cercato di “arrotondare” generando un elevato numero di clic con i bot.