10/09/19
21-летний хакер Кеннет Кёррин Шухман (Kenneth Currin Schuchman), известный в Сети также как Nexus Zeta, признал вину в создании множества DDoS-ботнетов на базе устройств «интернета вещей». В судебных документах указывается, что молодой человек страдает аутизмом и синдромом Аспергера. Это, видимо, будет учтено как смягчающее обстоятельство.
Самым крупным достижением Шухмана стал, по-видимому, ботнет Satori, заразивший как минимум 500 тыс. интернет-роутеров по всему миру. В судебных документах этот ботнет прямо не называется, однако, по мнению экспертов по информбезопасности, всё указывает именно на него.
Также известно, что Шухман работал преимущественно не один, а сразу с двумя подельниками, фигурирующими в документах только как Vamp и Drake.
Satori они создали втроём ориентировочно в июле-августе 2017 г. После этого они начали сдавать его в аренду для проведения DDoS-атак. В качестве разработчиков выступали Шухман и Vamp, в то время как Drake занимался деловыми контактами.
Mirai, далее везде
Первая версия «бота» Satori представляла собой разновидность Mirai (другого ботнета, атакующего интернет вещей), но с расширенными функциями. Система сканирования была позаимствована из третьего ботнета — Remaiten. Satori первоначально атаковал устройства с «заводскими» или слабыми паролями и Telnet-уязвимостями. За первый же месяц в ботнет удалось набрать более 100 тыс. устройств.
По словам самого Шухмана, 32 тыс. из них принадлежали крупному канадскому интернет-провайдеру. Также хакер утверждал, что его ботнет может запускать атаки мощностью до 1 Тбит/с.
В сентябре-октябре Шухман и его подельники разработали новую версию Satori, теперь уже под названием Okiru. «Бот» Okiru представлял собой первый в истории вредонос под Linux, целенаправленно атакующий процессоры ARC, используемые в устройствах интернета вещей.
В ноябре 2017 г. трое хакеров создали Masuta, ботнет, атакующий роутеры GPON. Одновременно Шухман занимался собственной разработкой — отдельным ботнетом, который использовался для проведения постоянных атак на фирму ProxyPipe, занимающуюся как раз-таки защитой от DDoS-атак.
В январе 2018 г. Шухман и его соратники создали новый ботнет, сочетавший функциональность Mirai и Satori, заразивший в итоге около 30 тыс. устройств, по большей части — IP-камер Goahead.
В апреле 2018 г. Шухман в одиночку разработал вредонос для нового ботнета. На этот раз в качестве основы он использовал код Qbot. Кроме того, он и Vamp начали своеобразную «войну на ботнетах» — что, впрочем, не помешало им возобновить совместные разрабобтки к июлю 2018 г.
Но как раз в это время правоохранительные органы идентифицировали Шухмана Поскольку для регистрации доменов, использовавшихся в DDoS-атаках, Шухман использовал имя и реквизиты своего отца, вычислить его не составило большого труда.
Его задержали и предъявили обвинения. Поначалу ему разрешили остаться под домашним арестом, однако он нарушил ключевое условие и вышел в интернет (для разработки нового ботнета). Вдобавок он организовал ложный вызов спецназа к дому Drake, так что его отправили в тюрьму.
