Esta é a história da maior botnet de todos os tempos, responsável pelos ataques de negação de serviço (DDoS) mais violentos de sempre. Não é preciso recuar muito no tempo para lembrar os casos em questão: em setembro de 2016 o alvo foi a empresa francesa de servidores OVH e no mês seguinte foi a empresa norte-americana Dyn, responsável por gerir serviços de DNS, o que resultou num apagão para vários gigantes da internet.
Aquilo que muitos pensaram ser ataques concertados de países como a Rússia, a China ou a Coreia do Norte – pela escala registada -, era afinal a obra descontrolada de três jovens: Paras Jha, Josiah White e Dalton Norman declararam-se culpados na passada sexta-feira pela criação e utilização da botnet Mirai.
Siga o Future Behind: Facebook | Twitter | Instagram
Os primeiros sinais de que algo completamente novo na área dos DDoS estava a aparecer surgiram em agosto do ano passado. Mas quando o verdadeiro impacto chegou, tanto as autoridades como as entidades privadas foram apanhadas desprevenidas – quando perceberam a gravidade da situação já era tarde de mais.
O malware Mirai percorria a internet à procura de dispositivos de Internet das Coisas (IoT na sigla em inglês) – como câmaras de segurança, frigoríficos e boxes de televisão – que ainda tivessem as definições de segurança de origem. Ao procurar afetar equipamentos com um baixo perfil de segurança, os jovens responsáveis pelo Mirai conseguiram construir uma botnet que cresceu de forma exponencial.
Nas primeiras 20 horas já tinham sido ‘sequestrados’ 65 mil equipamentos, valores que numa fase inicial duplicavam a cada 76 minutos. Sempre que um destes dispositivos era desligado, o Mirai perdia o seu controlo e só com tentativas futuras de infeção é que conseguia restabelecer contacto. As autoridades norte-americanas estimam que a rede chegou a ter uma força constante de 300 mil equipamentos e que no seu auge chegou a ter mais de 600 mil dispositivos-zombie prontos para atacar.
“Eles não se aperceberam do poder que estavam a criar. Isto era o Projeto Manhattan”, disse o supervisor Bill Walton, do FBI, citado pela Wired, numa alusão ao projeto dos EUA que resultou na criação da bomba atómica na década de 1940.
“Estes miúdos são super inteligentes, mas não fizeram nada de alto nível – apenas tiveram uma boa ideia. É a botnet de IoT mais bem-sucedida que já vimos – um sinal de que o crime informático não é só computadores”, acrescentou.
Graças às centenas de milhares de equipamentos que tinham à sua disposição, Paras Jha, Josiah White e Dalton Norman podiam gerar uma quantidade exorbitante de tráfego que deixaria qualquer estrutura tecnológica à sua mercê. Foi o que aconteceu à OVH quando no dia 19 de setembro foi atacada por 145 mil dispositivos em simultâneo, que geraram um tráfego de 1,1 terabits por segundo. Um outro ataque posterior resultou por sua vez numa ‘carga’ de 901 Gbps.
Leia também | Olhar para a conta da eletricidade vai ser uma forma de saber se está a ser alvo de um ataque informático
Até àquela data, os ataques mais violentos geravam perto de 50 Gb de tráfego por segundo, algo que só era concretizado por uma outra botnet, chamada de vDOS. Ou seja, a botnet Mirai era dez vezes pior do que a pior das botnets até então conhecidas.
Além da força bruta, a rede Mirai tinha ainda a ‘vantagem’ de poder atacar diferentes endereços de IP em simultâneo, o que entupia por completo o serviço online de qualquer empresa. “Os DDoS numa determinada escala representam uma ameaça existencial para a internet. A Mirai foi a primeira botnet que vi a atingir esse nível”, comentou o agente Elliott Peterson, do FBI.
A grande questão que se coloca é: o que levou três jovens a criar algo tão devastador? A resposta é muito mais simples do que se pode pensar: eles apenas quiseram construir uma ferramenta que lhes permitisse ganhar dinheiro com o videojogo Minecraft.
Concorrência feroz
Minecraft dispensa apresentações: não só é um dos maiores fenómenos tecnológicos dos últimos anos, como já é inclusive o segundo videojogo mais vendido de sempre, tendo expedido mais de cem milhões de unidades.
A popularidade do jogo significa que há oportunidades de negócio adjacentes por explorar. Uma dessas oportunidades de negócio está relacionada com a criação de servidores próprios de Minecraft, servidores nos quais os jogadores podem encontrar versões personalizadas do jogo.
As regras, os limites e as funcionalidades variam de servidor para servidor, assim como as formas de rentabilizar os jogadores que participam em cada ‘universo’ de Minecraft. Conclusão? Ter servidores com versões modificadas de Minecraft pode ser um negócio muito rentável, podendo gerar 100 mil dólares por mês nos melhores dos casos, como descobriu o FBI.
E porque razão o FBI decidiu aprender mais sobre Minecraft? Porque a força de segurança começou a perceber que muitos dos ataques efetuados pela botnet Mirai tinham como alvo servidores do videojogo. O agente Elliott Peterson recorda inclusive de ter perguntado ‘Por que razão os servidores de Minecraft estão a ser atacados tantas vezes?’.
A resposta era simples: havia uma guerra aberta entre as pessoas que geriam diferentes servidores. O facto de o servidor A estar em baixo significaria provavelmente mais jogadores para o servidor B, por exemplo. Os ataques DDoS eram a forma mais eficaz e também mais barata para derrubar a concorrência.
Leia também | AlphaBay e Hansa: Uma golpada das antigas
Entretanto já deve ter percebido: os três jovens desenvolveram a botnet Mirai para entupir por completo a concorrência, desviando jogadores para os seus servidores. Segundo documentos oficiais do julgamento, citados pela Wired, a principal razão para o nascimento da Mirai foi a criação de “uma arma capaz de iniciar ataques poderosos de negação de serviço contra a concorrência [de servidores de Minecraft] e outros com quem o [Josiah] White guardava rancor”.
Depois de o FBI ter percebido o intuito para a criação da botnet, outros elementos ficaram muito mais óbvios, como o próprio ataque à empresa francesa OVH. A tecnológica operava uma ferramenta chamada VAC, que na prática era uma plataforma concebida especificamente para a mitigação de ataques DDoS em servidores de Minecraft. Eliminando a única proteção que muitos tinham, esses servidores depois eram ‘canja’ para uma rede como a Mirai.
Perder o controlo da criação
Com o passar das semanas a botnet foi ficando mais agressiva não só pela ganância dos seus criadores, mas também pelo seu engenho tecnológico: o malware foi atualizado várias vezes e até entrou em guerra direta com outras botnets na luta pelo domínio de dispositivos IoT que estavam desprotegidos. O fator ‘concorrência’ tornou a Mirai ainda mais perigosa.
“A Mirai foi originalmente desenvolvida para ajudá-los a atacar o mercado do Minecraft, mas depois eles aperceberam-se da ferramenta poderosa que tinham construído. A partir daí tornou-se simplesmente no desafio de torná-la tão grande quanto possível”, comentou Bill Walton, outro agente do FBI envolvido no caso.
No final de setembro de 2016, quando já todas as atenções estavam viradas para a rede Mirai fruto de um ataque a um perito em segurança informática, Brian Krebs, foi aí que a caixa de pandora se abriu por completo ao mundo. Numa tentativa de cobrir o seu rasto, os jovens disponibilizaram o código-fonte do malware Mirai no site Hack Forum, assim como as credenciais de acesso a 46 modelos de dispositivos IoT.
Este foi o momento em que perderam por completo o controlo do monstro que tinham criado. Segundo um estudo a Associação de Sistemas Avançados de Computadores (USENIX), nos cinco meses seguintes à disponibilização do código-fonte do Mirai, foram realizados 15.194 ataques DDoS através de variantes da botnet.
O ataque que acabou por ter os efeitos mais negativos, aquele que foi realizado contra a empresa Dyn, já não foi realizado pelo trio de jovens. Nomes grandes como Amazon, Twitter, Reddit, GitHub, Netflix e Spotify acabaram por ver os seus serviços ficarem offline devido ao ataque realizado contra a tecnológica responsável por gerir serviços de DNS.
Leia também | À boleia dos bugs da Uber
O caso da Dyn é uma investigação paralela e, segundo o FBI, a responsabilidade do ataque não está a ser atribuída diretamente a Paras Jha, Josiah White e Dalton Norman. O ataque à Dyn também foi de uma magnitude nunca antes vista: a própria tecnológica fala na possibilidade de ter recebido 1,2 terabits de tráfego por segundo, mas ainda hoje não conseguiu apurar com precisão o impacto que sofreu.
Partilhar o código-fonte do Mirai acabou por ser um dos maiores erros cometidos pelos jovens infratores, já que a popularidade que a ferramenta ganhou a seguir, muito por causa da escala dos ataques realizados, fez com que as autoridades focassem as suas investigações na tentativa de chegar à raiz do malware.
Não foi uma tarefa fácil, pois os jovens cobriram bem o seu caminho e até fizeram com que um jovem francês fosse considerado como um dos principais suspeitos da criação do malware – quando na realidade o seu computador estava a ser usado para ‘esconder’ o tráfego dos verdadeiros criminosos.
Entretanto a arma criada pelos jovens, mas já em novas derivações, continua a causar estragos: ainda no início de dezembro foi detetada uma nova botnet, chamada Satori, que nas suas primeiras 12 horas conseguiu infetar 250 mil dispositivos.