Les trois étudiants défensifs derrière le botnet
Mirai , un outil en ligne qui a fait des ravages sur Internet à l'automne 2016 avec de puissantes attaques par déni de service distribuées, comparaîtront en Alaska jeudi et demanderont au juge de prononcer une nouvelle peine: ils espèrent que ils seront obligés de travailler pour le FBI.
Josiah White, Paras Jah et Dalton Norman, qui avaient chacun entre 18 et 20 ans au moment de la création et du lancement de Mirai, ont plaidé coupable en décembre de la création d'un programme malveillant. Le botnet, qui a saisi l'accès à des centaines de milliers d'appareils de «l'Internet des objets» et les a combinés en une armée numérique, a commencé à exister comme un outil pour attaquer les hébergeurs ennemis de Minecraft, mais s'est ensuite transformé en tsunami en ligne à partir d'un trafic malveillant qui a mis hors service des fournisseurs d'hébergement entiers. Au moment de son apparition au milieu des accusations de «hackers russes» d'ingérence dans les élections américaines, beaucoup avaient peur qu'un nouvel ennemi inconnu soit apparu qui était sur le point de faire tomber Internet.
Les créateurs, se rendant compte que leur création s'est avérée beaucoup plus puissante qu'ils ne le pensaient, ont paniqué et ont présenté son code source - c'est la tactique standard des pirates qui espèrent que lorsque les autorités les atteindront, ils ne trouveront aucun code qui ne serait pas accessible au public , et ils ne peuvent pas être facilement blâmés pour sa création. La publication du code a conduit à d'autres attaques qui tombent, à la suite de laquelle une grande partie d'Internet n'était pas disponible sur la côte est des États-Unis un des jours d'octobre.
Selon des documents judiciaires, le gouvernement américain recommande que chacune de ces Trinités reçoive cinq ans de probation et 2 500 heures de service communautaire.
Cependant, la nuance est exactement la façon dont le gouvernement veut qu'ils déterminent leurs conditions: «Ensuite, les États-Unis demandent à la Cour, en accord avec le comité de probation, d'identifier le service communautaire comme un travail permanent avec le FBI pour lutter contre la cybercriminalité et la cybersécurité». dit le mémoire de peine.
Dans un document distinct de huit pages, le gouvernement décrit comment, au cours des 18 mois qui ont suivi le premier contact du FBI avec la Trinité, ses membres ont travaillé activement avec l'agence et la communauté plus large de professionnels de la cybersécurité, appliquant des compétences informatiques à des activités non criminelles. "Avant même que les accusations ne soient portées, les accusés ont engagé une coopération approfondie et exclusive avec le gouvernement américain", a écrit le procureur, affirmant que leur coopération "était remarquable tant par sa portée que par ses conséquences".
Il s'avère que la trinité a déjà contribué à plus de dix opérations différentes liées à l'état de droit et à la sécurité du pays et du monde entier. Dans un cas, ils ont aidé des chercheurs privés à rechercher un groupe de hackers, à l'origine d'une «menace avancée et permanente»; dans un autre, ils ont travaillé avec le FBI avant Noël pour affaiblir
les attaques DoS . Les documents judiciaires mentionnaient également que la trinité travaillait sous couverture en ligne et hors ligne, faisait des voyages d'affaires pour «documenter secrètement les actions des sujets faisant l'objet de l'enquête», et avait même travaillé une fois avec les forces de l'ordre d'un autre pays pour «garantir l'utilisation d'un ordinateur par le suspect». au moment de la recherche. "
Le gouvernement estime que le trio a déjà accumulé plus de 1 000 heures au total, aidant l'agence, ce qui équivaut à six mois d'expérience professionnelle.
Cette année, les défendeurs ont travaillé avec le FBI en Alaska pour arrêter la nouvelle version de DoS, connue sous le nom de Memcache, qui utilise un protocole Internet légitime conçu pour accélérer le chargement des sites Web et surcharger les sites Web en envoyant des demandes constantes. Ce protocole peu connu était vulnérable, notamment parce que de nombreux serveurs n'avaient pas d'autorisation, ce qui les rendait peu sûrs avant les attaques.
Les documents judiciaires décrivent comment Norman, Ja et White se sont mis à travailler avec zèle en mars lorsque les attaques ont commencé à se propager sur Internet, en collaboration avec le FBI et l'industrie de la sécurité pour identifier les serveurs attaqués. Le FBI a ensuite contacté des entreprises et des fabricants capables de souffrir de ces attaques pour aider à atténuer leur impact. "Grâce au travail rapide de l'accusé, le volume et la fréquence des attaques Memcache DoS ont été réduits en quelques semaines, les attaques sont devenues inutiles sur le plan fonctionnel et leur volume n'était qu'une petite fraction de ce qui était à l'origine", indique le rapport du procureur.
Fait intéressant, le domaine de travail de Trinity pour le gouvernement ne se limitait pas à la prévention des attaques DoS. Les procureurs décrivent le travail de programmation volumineux effectué par les défendeurs, y compris la création d'un programme pour faciliter le suivi des crypto-monnaies et des clés privées associées dans diverses devises. Il n'y avait pas de détails sur le programme dans les documents judiciaires, mais, selon le rapport, le programme reçoit diverses données des chaînes de blocs de crypto-monnaie en entrée et les traduit sous forme de graphique, ce qui aide les enquêteurs à analyser les portefeuilles en ligne suspects. «Ce programme et ses capacités, créés avec l'aide de l'accusé, peuvent réduire considérablement le temps dont les responsables de l'application des lois ont besoin pour effectuer une analyse des transactions, car le programme détermine automatiquement le chemin du portefeuille sélectionné», indique le rapport.
Selon des sources proches de l'affaire, l'enquête Mirai a fourni une occasion unique d'intercéder pour les accusés qui ont démontré d'excellentes compétences informatiques, les distrayant de la violation de la loi et attirant des activités légitimes dans le domaine de la sécurité informatique.
Le gouvernement souligne l'immaturité de la trinité dans ses recommandations de détermination de la peine, notant «la différence entre leur image en ligne, où ils étaient des pirates informatiques importants, célèbres et malveillants dans le domaine des attaques criminelles DoS, et leur vie réelle relativement ennuyeuse dans laquelle ils n'étaient inconnus de personne. des jeunes immatures vivant avec leurs parents. " Avant cela, aucun d'entre eux n'avait été accusé de crimes, et le gouvernement note les tentatives des trois "dans un développement professionnel et éducatif positif, qui se déroule avec plus ou moins de succès". Comme indiqué dans le rapport, «c'est le manque de progrès dans les domaines décrits qui a incité l'accusé aux actions criminelles dont il est question ici».
Dans une note séparée, l'avocat Josaya White, qui a lancé l'année scolaire à la maison de Mirai et est diplômé de la Pennsylvania Cyber School, explique: «Il a fait une erreur, pris une mauvaise décision, mais l'a ensuite transformée en actions très utiles pour le gouvernement et en un système d'apprentissage pour lui-même. ".
Après avoir capturé les créateurs de Mirai, le gouvernement espère les rediriger vers un chemin de vie plus productif - à commencer par 2500 heures de travail avec le FBI, des experts en sécurité et des ingénieurs. Comme l'écrivait le procureur: «Tous les trois auront de bonnes perspectives de formation et d'emploi s'ils décident d'en profiter, au lieu de continuer à commettre des délits.» Cela devrait se traduire par environ une année complète de travail pour le FBI pendant une journée complète, qui est susceptible d'être divisé en cinq ans de probation.
Fait intéressant, les documents judiciaires décrivent le travail en cours des accusés dans d'autres cas d'attaques DoS, et indiquent que le bureau du FBI en Alaska continue «d'enquêter sur les nombreux groupes responsables d'attaques DoS à grande échelle et cherche à continuer à travailler avec les accusés».
La petite escouade cyber du FBI dans la ville d'Anchorage est récemment apparue et est devenue au cours des dernières années le principal détachement contre les botnets; la semaine dernière, le chef de division William Walton est arrivé à Washington pour recevoir un prix pour avoir travaillé sur l'affaire Mirai des mains du directeur du FBI, l'un des plus hauts prix de l'agence. Dans la même semaine, le créateur du botnet de
Kelihos , le pirate russe Peter Levashov, a plaidé coupable devant un tribunal du Connecticut dans une autre affaire, tout en travaillant avec l'unité du FBI d'Anchorage et le cyber-service de New Haven. À en juger par les documents judiciaires, les accusés dans l'affaire Mirai ont également participé à ce botnet, aidant à développer des scripts identifiant les victimes de Kelihos après que l'agence a soudainement pris le contrôle du botnet et arrêté Levashov en Espagne en avril dernier.
L'enquête sur l'affaire Mirai, dirigée par les agents Elliot Peterson et Doug Klein, était intéressante dans un autre cas Peterson. En 2014, l'agent a dirigé l'acte d'accusation d'
Eugeny Bogachev , l'un des cybercriminels les plus recherchés de la liste du FBI, qui aurait commis de nombreux délits financiers via le botnet GameOver Zeus. Dans ce cas, les enquêteurs ont déterminé que Bogachev - qui vivait à Anapa - était à l'origine de nombreuses versions de logiciels malveillants connus sous le nom de Zeus, un outil préféré pour les attaques de pirates informatiques dans le métro numérique. Quelque chose comme Microsoft Office pour les arnaques en ligne. Pendant des années, le FBI a chassé Bogachev pour plusieurs choses, alors qu'il développait de nouvelles versions améliorées du logiciel. En 2014, lors des activités de recherche liées à GameOver Zeus, les enquêteurs ont décidé que Bogachev travaillait avec les services de renseignement russes pour transformer les capacités du botnet en collecte de renseignements et pour rechercher des informations sensibles sur les ordinateurs infectés dans des pays comme la Turquie, l'Ukraine et la Géorgie.
L'affaire GameOver Zeus a été l'un des premiers exemples de cas répandus de criminels russes collaborant avec des agences de renseignement russes. Dans un cas similaire, qui est devenu connu l'année dernière, le gouvernement américain a décrit comment un pirate informatique russe bien connu Alexei Belan a travaillé avec deux représentants des services de renseignement russes pour pirater Yahoo. Le flou de la ligne séparant les criminels en ligne et les services spéciaux russes est devenu un facteur clé pour faire du pays un État qui ne reconnaît pas les normes internationales, dont le dernier exemple en date est le lancement du virus rançongiciel
NotPetya .
En Alaska, dans la salle d'audience, le FBI proposera sa version de la façon dont le gouvernement peut aborder un problème similaire. Il est également heureux d'apprendre de l'expérience experte des hackers criminels capturés dans le pays. Mais d'abord, cela les oblige à arrêter les activités criminelles, puis termine leurs compétences informatiques pour maintenir la sécurité et la santé de l'Internet mondial.