布萊恩·克雷布斯,著名信息安全人員,其網站KrebsOnSecurity就在2016年10月遭到了大量Mirai殭屍網絡發起的DDoS攻擊。Mirai殭屍網絡通過入侵大量IoT設備來創建一系列受感染的殭屍網絡,給全球網絡造成嚴重破壞,而克雷布斯一直在努力揭開Mirai殭屍網絡作者的身份。如今這位安全博主聲稱,成功挖出了該起犯罪的元兇。
在被峰值達 665 Gbps 數據流量的攻擊弄掉線4天之後,克雷布斯展開了調查,想要查明攻擊發起者的身份,以及針對包括DynDNS在內大公司的多起此類攻擊的背後黑手。據克雷布斯透露,他的分析是「數百小時研究」的結果,因為他幾乎是「拼命尋覓看起來無關的人物和事件之間缺失的聯繫」。
克雷布斯稱,大部分DDoS攻擊都是為了來快錢才發起的。比如說,提供DDoS防護的公司,就會想要對某些目標客戶發起DDoS攻擊,這樣客戶就會相信沒有使用他們服務的危險,進而聘用他們進行DDoS防護。
在克雷布斯看來,他的網站和很多其他網站遇到了同樣的狀況,比如在2016年遭Mirai惡意軟體驅使成百上千殭屍網絡攻擊的法國託管服務提供商OVH和德國電信。
現在,最重要的揭秘來了:到底誰是克雷布斯網站攻擊背後的黑手呢?
根據克雷布斯的研究,DDoS防護服務提供公司 Protraf Solutions 的主人帕拉斯·傑哈(Paras Jha),就是近期涉及Mirai殭屍網絡的攻擊的幕後黑手。
最初,據說是一個暱稱「安娜前輩(Anna-senpai)」的黑客操控著Mirai殭屍網絡。克雷布斯的縝密調查揭示,該設想完全沒錯,因為「安娜前輩」就是帕拉斯·傑哈的眾多別名之一。
關於他是怎麼能夠確認傑哈就是Mirai殭屍網絡DDoS攻擊背後的人,克雷布斯聲明稱:他的第一條線索就是,Mirai與被稱為Bashilite、Q-bot和Torlus的殭屍網絡代碼家族有關。該代碼組使用受感染的IoT設備感染系統,然後在網絡上搜索其他脆弱IoT設備,壯大殭屍網絡軍隊。
第二條線索是與Lelddos的牽扯。Lelddos是個犯罪團夥,曾對微軟網際網路遊戲平臺Minecraft的伺服器支持公司發起過大規模攻擊。該團夥攻擊了包括ProxyPipe在內的伺服器提供商,原因是這些提供商沒有通過一些在線伺服器防護服務提供Minecraft的修復。所以,基本上,克雷布斯就是在宣稱:支持Minecraft但沒使用傑哈的DDoS防護的伺服器所遭到的攻擊,都是傑哈所為。
克雷布斯還指出:DataWagon的所有者克里斯多福·CJ·司考提是傑哈的幫兇。DataWagon是另一家DDoS防護提供公司。所以,克雷布斯宣稱:Lelddos團夥由司考提和Protraf的所有者組成。除了其他很多線索,ProTraf一名前同事也承認說傑哈就是Mirai背後的人。不出所料地,傑哈全盤否認對他的指控,稱自己不是「安娜前輩」,也沒有牽涉進基於Mirai的攻擊。
Krebs安全博客原文地址:
http://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/
---
在訂閱號裡,長按公眾號,即可「置頂」