Напомним, в сентябре прошлого года сайт Кребса подвергся мощнейшей в истории DDoS-атаке. Как оказалось, для ее осуществления злоумышленники использовали ботнет из IoT-устройств, зараженных вредоносным ПО Mirai. Через несколько дней некто под псевдонимом Anna Senpai выложил исходный код вредоноса в открытый доступ, сославшись на риски, связанные с продолжением киберпреступной деятельности.
Первой зацепкой в расследовании Кребса стал тот факт, что Mirai является новейшим вариантом трояна, довольно популярного в последние три года. Летом прошлого года сайт журналиста уже подвергался нескольким мощным DDoS-атакам с использованием ботнетов из IoT-устройств, инфицированных предшественником Mirai, известным под названиями Bashlite, Gafgyt, Qbot, Remaiten и Torlus. Все его варианты действуют подобно червям, сканируя интернет на наличие уязвимых систем.
В 2014 году предшественник Mirai использовался группировкой "интернет-хулиганов" lelddos. Чаще всего она атаковала серверы игры Minecraft, приносившие своим владельцам порядка $50 тыс. в месяц. Lelddos отлично понимали, что, атакуя серверы, они причиняют их операторам серьезный материальный ущерб. Кроме того, пользователи, столкнувшиеся с проблемами при подключении к серверу, попросту находили другой, и владелец оставался без заработка.
В июне 2014 года группировка атаковала компанию ProxyPipe, предоставляющую защиту серверов Minecraft. Мощность атаки достигала 300 Гб/с. Согласно отчету компании Verisign, у которой ProxyPipe покупала защиту от DDoS, на то время это была самая мощная атака. Для ее осуществления злоумышленники использовали ботнет из более 100 тыс. серверов.
В середине 2015 года серверы Minecraft подвергались атакам с использованием ботсети Qbot, состоящей из IoT-устройств. Атаки последовали сразу после того, как 17-летний Кристофер Скалти (Christopher Sculti) создал компанию по защите от DDoS-атак Datawagon. Ее клиентами также являлись владельцы серверов Minecraft.
Серверы компании размещались в месте, числившемся за еще одним сервисом по защите серверов Minecraft от DDoS-атак ProTraf Solutions. Данная компания активно пыталась отбить у ProxyPipe клиентов. В 2015 году Скалти связался с вице-президентом ProxyPipe Робертом Коэльо (Robert Coelho) и заявил о намерении деактивировать его учетную запись в Skype (эксплоит для уязвимости в Skype на то время продавался online). Спустя несколько минут после угрозы аккаунты Коэльо и ряда других сотрудников ProxyPipe были отключены, и клиенты компании лишились связи с ней. Далее серверы ProxyPipe подверглись мощной DDoS-атаке, из-за чего большинство пользовавшихся ее услугами владельцы серверов Minecraft перешли к ProTraf Solutions.
Кребсу история Коэльо показалась знакомой, ведь с ним произошло практически то же самое. В июле 2015 года Скалти связался с журналистом по Skype с целью похвастаться сканированием интернета на наличие IoT-устройств с заводскими учетными данными. По словам подростка, он обнаружил более 250 тыс. таких устройств и загрузил на них определенное ПО.
Второй раз Скалти связался с Кребсом 20 сентября прошлого года – за день до атаки на его сайт. Подростка разозлила опубликованная журналистом статья с упоминанием его имени. Устав от злобных сообщений, Кребс заблокировал Скалти в Skype, а минутой позже его приложение наводнили запросы со взломанных аккаунтов, и пользоваться им уже было нельзя. Спустя 6 часов сайт журналиста подвергся DDoS-атаке мощностью до 620 Гб/с.
По мнению Коэльо, в активную в 2014 году группировку lelddos входили Скалти и совладельцы ProTraf Solutions. Данную информацию также подтвердил бывший сотрудник ProTraf Solutions Аммар Зубери (Ammar Zuberi).
Вскоре после атаки на сайт Кребса на хакерских форумах стала распространяться информация, что автором вредоноса Bashlite/Qbot является сотрудник ProTraf Solutions 19-летний программист из Вашингтона Джосайя Уайт (Josiah White). Несколькими годами ранее Уайт был известен в хакерских кругах как LiteSpeed. Бывший хакер подтвердил Кребсу, что действительно написал некоторые компоненты Bashlite/Qbot, но никогда не пытался их продать. По словам Уайта, один из друзей по форуму Hackforums предал его, опубликовав код online и пригрозив раскрыть личность LiteSpeed.
Еще одним действующим лицом в данной истории является 20-летний сотрудник ProTraf Solutions Парас Джха (Paras Jha). Проанализировав его профиль на сайте LinkedIn, Кребс пришел к выводу, что точно такой же список навыков он уже где-то видел. Как оказалось, указанные на сайте LinkedIn данные совпадают с данными, опубликованными на хакерском форуме Hackforums кем-то под псевдонимом Anna-Senpai.
До публикации исходного кода Mirai большинство постов Anna-Senpai на форуме были посвящены насмешкам над теми, кто использовал Qbot. В июле 2016 года хакер предупредил участников форума о создании вредоносного ПО, способного удалять Qbot с инфицированных устройств и предотвращать повторное заражение.