Spis Mirai: Ako sa armáda webkamier stala zbraňou a vypla internet

V histórii kybernetických útokov sa často stretávame s operáciami, za ktorými stoja štátom sponzorovaní hackeri alebo sofistikované kriminálne syndikáty s jasnou finančnou motiváciou. Príbeh botnetu je však iný. Je oveľa triviálnejší a zároveň o to viac desivý, pretože odhaľuje, aký krehký je náš moderný, prepojený svet a ako sa obrovská deštruktívna sila môže dostať do rúk aktérov s tými najbanálnejšími pohnútkami. Toto nie je príbeh o medzinárodnej špionáži ani o veľkej lúpeži. Je to príbeh o tom, ako traja mladíci v snahe získať výhodu v populárnej videohre Minecraft takmer náhodou vytvorili digitálnu superzbraň – armádu státisícov hacknutých webkamier, tlačiarní a "inteligentných" zariadení, ktorá dokázala ochromiť časť globálneho internetu a ktorej dedičstvo formuje bezpečnostné hrozby dodnes. 

Všetko sa začalo v roku 2016 vo svete, ktorý väčšina dospelých nechápe: vo svete konkurenčných Minecraftových serverov. Traja mladí programátori – Paras Jha, Josiah White a Dalton Norman – sa venovali lukratívnemu, aj keď nie úplne legálnemu biznisu. Prevádzkovali vlastné Minecraftové servery, ktoré si prenajímali hráči, a zároveň ponúkali ochranu pred DDoS útokmi (Distributed Denial of Service). Tieto útoky, ktorými sa konkurenčné servery navzájom napádali, aby si ukradli hráčov, boli v tejto komunite na dennom poriadku. Aby získali výhodu, rozhodli sa vytvoriť vlastný, silnejší botnet. Ich cieľom však neboli klasické počítače chránené antivírusmi a firewallmi. Uvedomili si oveľa väčšiu a trestuhodne nezabezpečenú dieru na trhu: explodujúci svet vecí (IoT)výrobnými heslami. Milióny lacných webkamier, digitálnych videorekordérov a domácich routrov, prevažne od čínskych výrobcov, boli pripojené k internetu so stále nastavenými, jednoduchými, ako "admin", "heslo", "12345" alebo "root". Používatelia ich nikdy nezmenili a výrobcovia ich nikdy nenútili to urobiť. Bol to spiaci digitálny gigant, ktorý čakal na prebudenie. 

Vytvorili malvér, ktorý nazvali Mirai (japonský "budúcnosť). Tento kód nebol nijako zvlášť sofistikovaný, no bol brutálne efektívny vo svojej jednoduchosti. Nerobil nič zložité. Systematicky a neúnavne skenoval internet a hľadal zariadenia s otvoreným portom Telnet. Následne sa pokúsil prihlásiť pomocou krátkeho, pevne zakódovaného zoznamu približne 60 najbežnejších výrobných hesiel. Ak sa mu to podarilo, okamžite zariadenie nakazil, zablokoval porty (ako 22, 23, 80), aby ho nemohol ovládnuť iný botnet v rámci prebiehajúcich "botnetových vojen", a pripojil ho do svojej rastúcej armády "zombie" zariadení, ktorá čakala na príkazy z riadiaceho (C&C) servera. V priebehu niekoľkých mesiacov sa im podarilo potichu zotročiť státisíce zariadení po celom svete, od Číny až po Brazíliu, a vytvoriť tak jeden z najväčších botnetov, aké kedy svet videl. Najprv ho používali na svoje pôvodné ciele: útoky na konkurenčné Minecraft servery a na vydieranie iných firiem, ktorým ponúkali ochranu pred útokmi, ktoré sami iniciovali.

Skutočný chaos a demonštrácia sily sa rozpútali, keď sa rozhodli použiť svoju zbraň proti tým, ktorí sa im postavili do cesty. V septembri 2016 nasmerovali Mirai na webovú stránku populárneho bezpečnostného novinára Briana Krebsa, ktorý písal o ich aktivitách a odhaľoval pozadie DDoS trhu. Útok dosiahol silu 620 Gbps (gigabitov za sekundu), čo bol v tej dobe najväčší zaznamenaný DDoS útok v histórii. Bol tak masívny, že jeho poskytovateľ hostingu, spoločnosť Akamai, musel jeho stránku dočasne odpojiť, pretože absorbovanie takého náporu by ich stálo státisíce dolárov. Krátko na to sa jeden z autorov, používajúci na hackerských fórach pseudonym "Anna-senpai"(ktorým bol Paras Jha), rozhodol urobiť niečo nečakané a osudné: zverejnil kompletný zdrojový kód Mirai. Tvrdil, že scéna sa stáva príliš horúcou a chcel sa týmto krokom zbaviť pozornosti bezpečnostných zložiek, ktoré im už dýchali na krk. Myslel si, že ak budú všetci používať jeho kód, bude ťažšie vystopovať originálnych tvorcov. Týmto krokom však otvoril Pandorinu skrinku.

S voľne dostupným zdrojovým kódom si teraz mohol ktokoľvek – od script kiddies až po štátom sponzorované skupiny – vytvoriť svoju vlastnú verziu Mirai botnetu. Scéna explodovala. V priebehu niekoľkých týždňov sa objavili desiatky nových botnetov postavených na Mirai, ktoré medzi sebou súperili o kontrolu nad stále nezabezpečenými zariadeniami. Vrchol prišiel 21. októbra 2016, keď neznámy útočník použil armádu infikovaných zariadení na masívny a sofistikovaný útok proti spoločnosti Dyn, kľúčovému americkému poskytovateľovi DNS služieb. DNS je v podstate telefónny zoznam internetu, ktorý prekladá názvy stránok (napr. www.google.com) na IP adresy, aby váš prehliadač vedel, kam sa má pripojiť. Útok nebol len hrubou silou; bol cielený a sofistikovaný, zameraný na zaplavenie DNS serverov Dynu obrovským množstvom zdanlivo legitímnych požiadaviek, čím ich preťažil a znemožnil im odpovedať. V dôsledku toho sa na niekoľko hodín ochromila dostupnosť niektorých z najväčších a najdôležitejších webových stránok na svete, vrátane Twitteru, Netflixu, Spotify, Redditu, Amazonu, GitHubu a The New York Times, najmä na východnom pobreží USA. Bol to moment, keď si celý svet, vrátane vlád a korporácií, s hrôzou uvedomil, že armáda nezabezpečených "inteligentných" hračiek dokáže položiť na kolená kritickú infraštruktúru globálneho internetu.

Príbeh sa končí, ako mnohé iné, kombináciou investigatívnej práce a chýb samotných páchateľov. Brian Krebs, spolu s ďalšími bezpečnostnými expertmi a komunitou, sa nevzdal a pokračoval v pátraní. Postupne skladal mozaiku z útržkov informácií, prezývok a príspevkov na fórach, ktorá nakoniec viedla k Parasovi Jhaovi. Ten, keď si uvedomil, že sa sieť sťahuje, urobil chybu a pokúsil sa hodiť vinu na svojich spoločníkov. Nakoniec však boli všetci traja identifikovaní a v roku 2017 sa priznali. Vďaka ich následnej rozsiahlej spolupráci s FBI pri boji proti iným kyberzločincom a vzhľadom na ich nízky vek dostali relatívne mierne tresty – päťročnú probáciu a značné verejnoprospešné práce, vrátane polročnej práce pre FBI, kde museli svoje znalosti využiť na pomoc pri kybernetických vyšetrovaniach.

Spis Mirai však zanechal trvalý a desivý odkaz. Je to prípadová štúdia o tom, ako v prepojenom svete Internetu vecí môže kombinácia nedbalosti výrobcov (používanie slabých, nemenných hesiel) a banálnej ľudskej motivácie (súperenie v hre) viesť ku globálnej bezpečnostnej hrozbe. Mirai nebol sofistikovaný; bol len brutálne efektívny vo využívaní ľudskej lenivosti a ignorancie. Zmenil aj pohľad na zodpovednosť – ukázal, že výrobcovia IoT zariadení majú obrovský podiel viny na vzniku takýchto hrozieb. A je mrazivou pripomienkou, že ďalšia veľká zbraň, ktorá ohrozí internet, nemusí prísť z vládnych laboratórií alebo od profesionálnych kriminálnych syndikátov, ale z vašej nezabezpečenej detskej opatrovateľky, inteligentnej žiarovky alebo termostatu. Sieť, ktorú vytvorili, a jej nespočetné mutácie, sú aktívne dodnes a slúžia ako permanentná výstraha pre celý digitálny svet.