21-летний создатель нескольких IoT-ботнетов, включая Satori, Кеннет Каррин Шуцман (Kenneth Currin Schuchman), также известный как Nexus Zeta, признал себя виновным в создании и эксплуатации нескольких ботнетов, которые в основном использовались для DDoS-атак. Шуцман не только сдавал свои ботнеты в аренду другим преступникам, но и использовал сам, устраивая DDoS-атаки на различные цели.
Напомню, что об аресте создателя Satori стало известно в прошлом году. До этого Nexus Zeta любил привлекать к себе внимание, активно и охотно общался с журналистами и экспертами, что в итоге помогло установить его личность и привело к задержанию. В частности, к аресту Шуцмана привело то, что он использовал ID и данные своего отца для регистрации доменов, которые затем использовал для своих операций и DDoS-атак по найму.
В судебных документах отмечается, что у Шуцмана диагностирован синдром Аспергера и аутистическое расстройство. Он был активным пользователем HackForums, где, как считается, он и приобрел все свои хакерские навыки.
Хотя изначально предполагалось, что Шуцман действовал в одиночку, теперь судебные документы сообщают, что он работал вместе с двумя другими хакерами, которые фигурируют в документах как Vamp и Drake. По информации следствия, Vamp был основным разработчиком и программистом, Drake управлял продажами и занимался поддержкой клиентов, а сам Nexus Zeta выступал вторым разработчиком, задачей которого была разработка или приобретение новых эксплоитов, которые ботнет мог бы использовать для заражения новых IoT-девайсов.
Пока власти США не сообщают, предъявили ли они обвинения Vamp и Drake, однако утверждается, что правоохранителям уже известны их реальные личности.
В судебных документах была опубликована весьма интересная хронология событий, проливающая свет на активность хакеров и события, которые в итоге привели к аресту Шуцмана.
Июль-август 2017: Шуцман, Vamp и Drake создают ботнет Satori, основанный исходниках известной IoT-малвари Marai. Правоохранители пишут, что первоначальная версия Satori «расширила возможности DDoS-ботнета Mirai, нацеливалась на устройства с уязвимостями Telnet и использовала улучшенную систему сканирования, позаимствованную у другого ботнета, известного как Remaiten». И хотя первый ботнет полагался исключительно на компрометацию устройств, работающих с учетными данными по умолчанию, или слабыми паролями, которые легко подобрать, только за первый месяц он заразил более 100 000 устройств. Согласно судебным документам, более 32 000 этих устройств принадлежали крупному канадскому интернет-провайдеру, и ботнет был способен к DDoS-атакам мощностью до 1 Тбит/с.
Сентябрь-октябрь 2017 : хакеры улучшают оригинальный Satori до новой версии, которую называют Okiru. Эта версия уже использует не только Telnet, но и эксплоиты для компрометации уязвимых устройств. Основной целью ботнета Okiru являются камеры производства Goahead.
Ноябрь 2017: Шуцман, Vamp и Drake развивают Satori и Okiru. Они создают новую версию ботнета с именем Masuta, которую используют для атак на GPON-роутеры. Их бизнес DDoS-атак по найму процветает. Шуцман создает собственный отдельный ботнет, который использует для атаки на инфраструктуру ProxyPipe, фирмы по предотвращению DDoS-атак.
Январь 2018 года: Nexus Zeta и Drake создают еще один ботнет, сочетающий в себе функциональность Mirai и Satori, с акцентом на устройствах, базирующихся во Вьетнаме.
Март 2018 года: трое хакеров продолжают работу над этим ботнетом, который позже становится известен под именами Tsunami или Fbot. Ботнет заражает около 30 000 устройств, и в основном это опять камеры Goahead. Позже, эксплуатируя баги в системах High Silicon DVR, ботнет расширяется еще на 35 000 новых устройств. Власти США пишут, что данный ботнет мог осуществлять DDoS-атаки мощностью до 100 Гбит/с.
Апрель 2018: Шуцман расстается с Vamp и Drake, после чего самостоятельно разрабатывает еще один ботнет, на этот раз на основе семейства малвари Qbot. Этот ботнет атаковал в основном GPON-роутеры в сети мексиканской телесети Telemax. Кроме того, Nexus Zeta начал конкурировать с Vamp, и оба развернули ботнеты, мешающие работе конкурента.
Июль 2018 года: Шуцман мирится с Vamp, но к этому времени ФБР уже выследило его, позже в этом месяце Nexus Zeta допрашивают.
21 августа 2018 года: власти США официально предъявляют Шуцману обвинения, но позволяют ему оставаться на свободе до суда.
Август-октябрь 2018: Шуцман нарушает условия своего освобождения из-под стражи, получая доступ к интернету и занимаясь разработкой нового ботнета (вновь на основе Qbot). Кроме того, он устраивает «сваттинг» (swatting — ложный вызов полиции по определенному адресу) на домашний адрес Drake.
Октябрь 2018: Шуцман арестован и на этот раз заключен под стражу.
Теперь, после того как Шуцман признал себя виновным, ему грозит до десяти лет лишения свободы, штраф в размере до 250 000 долларов США, а после еще три года под пристальным надзором правоохранительных органов. Слушание по делу хакера назначено на ноябрь текущего года.