美国司法部(DOJ)当时时间12月13日公开的法庭文件显示,三名黑客承认创建Mirai恶意软件,并利用Mirai僵尸网络对多个目标发起DDoS攻击。
三人分工明确创建Mirai
三名黑客分别为:帕拉斯-杰哈、约西亚-怀特和道尔顿-诺曼。
认罪协议(Plea Agreement)显示,怀特创建了Mirai Telnet扫描器;杰哈创建了Mirai僵尸网络的核心基础设施,并开发了这款恶意软件的远程控制功能;诺曼开发了新漏洞利用。
美国当局表示,针对运行Linux操作系统的设备,三名黑客协作创建了Mirai恶意软件,Mirai使用Telnet扫描器识别在线暴露的设备,并结合漏洞利用和默认凭证感染不安全的设备,不断添加到僵尸网络中。
牵头调查的美国联邦调查局(FBI)表示,Mirai僵尸网络由30万多台设备组成,其中大多为数字录像机(DVR)、监控摄像头和路由器。
Mirai于2016年8月开始行动,当月便被安全研究人员发现。
提供“DDoS租用服务”开始恶意行动
利用Mirai僵尸网络,这三人在黑客论坛上宣传Mirai僵尸网络,提供DDoS租用服务。杰哈似乎还使用Mirai僵尸网络企图勒索托管公司。
这种租用服务模式增加了早期确定Mirai DDoS攻击归因的难度,尤其针对信息安全记者布莱恩-克雷布斯、法国托管提供商OVH、托管DNS提供商Dyn发起的DDoS攻击。
三人利用原Mirai僵尸网络发起攻击,Mirai一时名声大噪。针对OVH的DDoS攻击的流量峰值高达1.1 Tbps,针对Dyn的DDoS攻击使约26%的互联网站点陷入瘫痪,Mirai因此“成名”
。
源代码公开更多Mirai变种出现
此后,杰哈使用网名Anna-senpai进行操作,将Mirai的源代码公开到网上,其它恶意软件开发人员因此创建了大量克隆变种,例如Satori,这是目前最新的Mirai变种,12月5日已经激活超过28万个不同的IP。杰哈大概希望通过无数新的克隆变种将Mirai的踪迹隐藏起来。目前Mirai僵尸网络仍在继续壮大,扫描活动已扩展至南美和北非国家,包括哥伦比亚、厄瓜多尔、巴拿马、埃及和突尼斯。
FBI于2017年1月锁定杰哈进行询问调查,美国当局于2017年5月正式指控了这三名嫌疑人。
领取专属 10元无门槛券
私享最新 技术干货