En noviembre del año pasado, Alemania se quedaba sin Internet por culpa de un ataque de la botnet Mirai, que también se usó en el ataque a Dyn. La fuerza de Mirai y de las botnets era lo que asustaba, si un malware como este había sido capaz de dejar sin conexión a la web a todo un país teníamos que empezar a preocuparnos con motivos.
Mirai fue la responsable de tumbar la web de Brian Krebs durante varios días. Desde entonces ha estado investigando quién se esconde detrás de ella, y entre los datos que ha recogido y las conexiones con el mundo de Minecraft y LinkedIn, ha publicado en un extensísimo artículo en el que dice tener indicios de saber quién es Anna-senpai, supuesto autor o autores de la botnet.
El proceso que Krebs ha seguido ha llevado cientos de horas de trabajo, así que vamos a intentar explicar las claves que han llevado a este experto en seguridad a determinar que la identidad real de este avatar es Paras Jha, propietario de Protraf Solutions.
Un recordatorio: ¿qué es Mirai?
Hace unos meses publicamos un artículo detallando qué son las botnets exactamente. Como tal, Mirai escanea el IoT buscando dispositivos poco protegidos que pueda usar como réplicas para lanzar ataques distribuidos de denegación de servicio o DDoS. Este tipo de ataques se suelen utilizar para "tumbar" en la red a negocios, webs personales de gente influyente, agencias gubernamentales y ONGs casi a diario.
Mirai es capaz de colapsar los servidores con tráfico basura a velocidades de 620 gbps, lo que es una cifra desproporcionada, sólo a base de aprovecharse de dispositivos pobremente protegidos que usar como réplicas.
Esta botnet tumbó la web de Brian Krebs durante cuatro días el pasado mes de septiembre. Por lo que él mismo ha publicado, la elección de su web personal no fue algo casual. Todo habría sido desencadenado por un asunto de un artículo que no había gustado a alguien.
Las primeras pistas: ataques a servidores de Minecraft
Según Krebs, Mirai es sólo la última encarnación de una familia de botnets que lleva bastante tiempo en desarrollo. Entre estos encontramos Bashlite, Gafgyt, Qbot, Remaiten y Torlus. Cada uno tiene un nombre distinto por diferencias fundamentales en el código entre ellos, pero la base en todos es la misma.
Estas botnets habrían empezado a ser utilizadas en 2014 para atacar servidores de Minecraft. Detrás de estos ataques estaría el grupo leldos, que usaban el malware para "tumbar" los más importantes. El porqué lo da Robert Coelho, vicepresidente de ProxyPipe, empresa especializada en proteger servidores de Minecraft:
La industria de Minecraft es muy competitiva. Si eres un jugador, y tu servidor favorito está caido, puedes cambiar a otro. Pero para los operadores del servidor, todo se reduce a maximizar el número de jugadores y conseguir llevar un servidor grande, activo y poderoso. Cuantos más jugadores tengas, más dinero ganas. Pero si te tiran, puedes empezar a perder jugadores muy rápido, quizá para siempre.
ProxyPipe recibió las atenciones de leldos, que lanzaron un ataque DDoS a 300 gbps, y que se dedicaron a provocar a los jugadores en Twitter:
En el momento en el que se lanzaron los ataques, ProxyPipe confiaba en Verisign para protegerse contra ataques DDoS. En esta firma de seguridad afirmaron que era el mayor ataque que habían visto nunca, y se repetirían en 2015 tras recibir amenazas de un entonces adolescente llamado Christopher "CJ" Sculti.
Sculti era el propietario y único empleado de una empresa de protección contra ataques DDoS llamada Datawagon (que intentaba atraer a clientes del mundo Minecraft), cuyos servidores estaban alojados en el espacio de otra empresa que vendía protección a servidores de Minecraft llamada ProTraf Solutions.
ProTraf entra en escena
Desde ProxyPipe están convencidos de que leldos está formado por Sculti y gente de ProTraf. ¿Por qué? El ataque que sufrieron en 2015 coincidió con el robo de espacio de direcciones de Internet de sus servidores. Al parecer, las direcciones secuestradas fueron a parar de alguna manera a FastReturn, algo que la empresa Dyn confirmó mediante un análisis (así como también confirmó el ataque y el robo de direcciones).
Pocos meses después del ataque, el responsable de FastReturn fue a trabajar para ProTraf, vendiendo la mayoría de direcciones asignadas a FastReturn en el proceso. Esta persona responde al nombre de Ammar Zuberi, y niega cualquier tipo de pertenencia a leldos, si bien incrimina a CJ Sculti y al staff de ProTraf.
Zuberi llevó a otra pieza de la investigación, Josiah White, experto en mitigación de ataques DDoS en ProTraf. Además, White es el autor de dos botnets que nombramos unas líneas más arriba, Qbot y Bashlite, como él mismo reconoció ante Brian Krebs (si bien él no pensaba que su código se vendería o intercambiaría online). Y de nuevo, ProTraf aparece en la conversación.
Krebs empieza a investigar a la empresa y descubre que sólo tiene otro empleado: Paras Jha, que también es el presidente de la compañía.
¿Quién es Paras Jha?
Según se puede leer en el perfil de LinkedIn de Paras Jha, el programador / hacker / empresario se define a sí mismo de la siguiente manera:
Automotivado, en séptimo grado empezó a aprender a programar de forma autodidacta en distintos lenguajes. Hoy, sus habilidades para el desarrollo de software incluyen C#, Java, Golang, C, C++, PHP, x86 ASM y sin olvidar lenguajes web como Javascript y HTML/CSS.
También aparecen Josiah White y CJ Sculti como perfiles recomendados, aunque desde la publicación del artículo de Brian Krebs puede que muchos usuarios los hayan buscado, con lo que puede no ser significativo.
Volviendo a Paras Jha, trabajó varios años para Minetime, uno de los servidores de Minecraft más populares. Esto no es una sorpresa teniendo en cuenta que ProTraf intentaba atraer clientes del entorno de Minecraft, pero lo que llamó la atención a Krebs es que las habilidades de Paras Jha son las mismas que las de Anna-senpai, que las detalla en su perfil de Hackforums.
¿Es Paras Jha Anna-senpai?
No fue hasta que Krebs habló con Josiah White que empezó a sospechar de que este hombre podría ser la identidad real de Anna-senpai. Al parecer, ha intentado entrar en distintos grupos hackers, dejando muy claro su set de habilidades en todas sus solicitudes de ingreso:
Como decíamos, lo que Anna-senpai dice saber hacer y lo que Jha detalla en su perfil de LinkedIn es exactamente lo mismo. Dicho esto, Krebs empezó a investigar más a fondo la huella de Paras Jha en Internet. Por un lado, este programador contribuye en GitHub como dreadiscool, que además es el mismo alias usado en un conocido foro sobre Minecraft. Foro donde, por cierto, sigue en activo. Sus últimos posts en dicho foro son de naturaleza muy técnica, cubriendo aspectos que van desde la programación a los ataques DDoS.
¿Qué más encontró Krebs? Por un lado que Paras Jha es usuario de MyAnimelist, donde los usuarios postean las series y películas que han visto dentro de este género. Entre ellas encuentra _Mirai Nikki_, de donde Krebs deduce que sacó el nombre del malware. En su perfil de Reddit se puede ver gran actividad en posts relacionados con ataques DDoS.
Más pruebas. Robert Coelho habló con Anna-senpai por Skype sin conocer la identidad real de este usuario. Sin embargo, su socio empresarial se dio cuenta de que el código fuente de Mirai era muy similar a otro posteado en el GitHub de dreadiscool. Esto es lo que tiene que decir al respecto:
[Mi socio] empezó a llegar a la conclusión de que quizá Anna-senpai era Paras. Me dio muchas ideas, y después de que hice mi propia investigación decidí que probablemente tenía razón. [Paras y yo] hablábamos mucho por entonces y solíamos participar en proyectos de programación juntos. Ahora es muy bueno, pero entonces no lo era. Estaba aprendiendo todavía, y yo le enseñaba casi todo.
Le gusta que se reconozcan sus concimientos, que se le alabe y que otra gente reconozca lo bueno que es. Presume mucho, en pocas palabras.
Coelho dijo que no mucho tiempo después de que Minetime recibiese un ataque DDoS en 2013, Paras Jha se unió a Hackforums y poco después dejó de responder a sus mensajes:
Desapareció de la faz de la tierra. Cuando empezó a entrar en Hackforums, ya no le conocía. Se había convertido en una persona diferente.
Por su parte, Jha niega toda asociación con Mirai, según dijo a Brian Krebs:
No creo que haya suficientes pruebas para señalarme. Hasta la publicación de este artículo, yo era básicamente un don nadie. No hay una historia sobre mí haciendo esta clase de cosas, nada que señale a ninguna clase de comportamiento sociópata. Que es lo que el autor es, un sociópata.
Veremos cómo se desarrollan los acontecimientos en el futuro, pero por ahora Brian Krebs parece tenerlo muy claro.
KrebsOnSecurity | Who is Anna-Senpai, the Mirai Worm Author?
Imágenes | xusenru, KrebsOnSecurity
En Genbeta | Las botnets suben de nivel: llega una más bestia que Mirai capaz de enviar ataques DDoS a 650 Gbps
Ver 3 comentarios