Немецкие СМИ сообщили, что в минувшую пятницу 29-летний хакер, известный под псевдонимами BestBuy, Popopret и Spiderman (настоящее имя не раскрывается), признал свою вину во взломе 900 000 роутеров крупного провайдера Deutsche Telekom (1, 2, 3, 4).
Напомню, что атака на Deutsche Telekom произошла осенью 2016 года и была лишь одним из звеньев в цепи мощных атак, за которыми стояли операторы Mirai-ботнета, известного экспертам под идентификатором Ботнет#14.
В конце 2016 года данный ботнет осуществил атаки на оборудование провайдеров Deutsche Telekom, Eircom, TalkTalk, UK Postal Office и KCOM. Дело в том, что применяемая преступниками версия малвари Mirai была способна не только брутфорсить IoT-устройства посредством Telnet, как делал оригинальный вариант Mirai, но также атаковала роутеры через порт 7547, используя для этого протоколы TR-064 и TR-069. Данная уязвимость была выявлена и описана в начале ноября 2016 года.
В феврале 2017 года в аэропорту Лондона был арестован 29-летний гражданин Великобритании. Сообщалось, что этот человек был причастен к атаке на провайдера Deutsche Telekom и будет передан полиции Германии.
Экстрадиция состоялась, начался суд, и 21 июля 2017 года BestBuy признал свою вину, однако подчеркнул, что не намеревался выводить оборудование провайдера из строя, лишь планировал заразить роутеры и объединить их в ботнет для последующего совершения DDoS-атак. Напомню, что вопреки намерениям злоумышленника его версии Mirai производила на оборудование разрушительный эффект, тысячами уводя устройства в оффлайн, что в итоге вызвало массовые перебои с интернетом в Германии (и не только, просто другие атаки не фигурируют в данном деле).
По информации местных СМИ, на суде BestBuy сообщил, что пытался нарастить мощь своего ботнета, так как у него был заказ от либерийского интернет-провайдера, которому потребовалось устроить массированную DDoS-атаку на конкурентов. Хотя название организации-заказчика не раскрывается, известно, что за атаку на конкурентов злоумышленнику заплатили 10 000 долларов.
С началом судебного процесса интерес к BestBuy проявил и известный ИБ-журналист Брайан Кребс (Brian Krebs). Он посвятил деанонимизации BestBuy развернутую и небезынтересную статью в своем блоге. Кребс провел масштабное расследование и теперь уверяет, что настоящее имя BestBuy — Дэниел Кайе (Daniel Kaye) и он не новичок в киберкриминальной среде, так как ранее занимался разработкой малвари GovRAT.
Приговор злоумышленнику вынесут уже в эту пятницу, 28 июля 2017 года. BestBuy грозит до десяти лет лишения свободы.
