一名來自華盛頓溫哥華的22歲男子因創建和操作多個DDoS殭屍網絡被判13個月監禁,這些殭屍網絡由家用路由器和其他網絡以及物聯網設備組成。
美國司法部表示,在網上被稱爲Nexus Zeta的Kenneth Currin Schuchman創建了多個物聯網殭屍網站,並將其在網上出租,以便其他人發起DDoS攻擊。
司法部表示,已將Schuchman與網絡安全行業中知名的殭屍網絡聯繫在一起,這些殭屍網絡的代號爲Satori、Okiru、Masuta和Fbot/Tsunami。據悉,Schuchman的殭屍網絡已經用惡意軟件感染了數十萬臺設備。
美國官員說,Schuchman有兩個同夥Vamp和Drake,他們負責爲殭屍網絡編寫代碼程序。
司法部官員說,除了將殭屍網絡租給買家以外,Schuchman及其同夥還利用殭屍網絡來攻擊各種在線服務和公司。
官員們表示,Schuchman在2017年8月到2018年8月期間運營他的殭屍網絡,2018年8月他被正式起訴,最終於2018年10月被正式逮捕。
下面是舒曼在認罪書中行爲的總結。
2017年7月至8月,Schuchman,Vamp和Drake基於Mirai IoT惡意軟件的公共代碼創建了Satori殭屍網絡。美國當局表示,此版本“擴展了Mirai DDoS殭屍網絡的功能,針對存在的遠程漏洞的設備,並利用了來自另一個DDoS殭屍網絡借來的改進掃描系統。”即使這個殭屍網絡僅依靠利用出廠設置或易於猜測的密碼運行,Satori在其誕生的第一個月就感染了超過10萬臺設備。根據法院文件顯示,Schuchman聲稱其中超過32000臺設備屬於加拿大一家大型ISP,而殭屍網絡能夠進行1Tbps的DDoS攻擊(此說法尚未得到證實)。
2017年9月至10月,這三名黑客將原來的Satori殭屍網絡改進爲被稱爲Okiru的新版本。這個版本還可以利用漏洞傳播到未打補丁的設備。Okiru殭屍網絡的主要目標是Goahead公司生產的安全攝像頭。他們的DDOS出租業務達到頂峯。Schuchman還創建了自己的個人殭屍網絡,並攻擊了ProxyPipe公司的基礎結構。
2017年11月,Schuchman,Vamp和Drake在Satori和Okiru的基礎上開發了一個被稱爲Masuta的新版本,利用GPON路由器,並感染了超過70萬臺設備。
2018年1月,Schuchman和Drake創造了一個結合了Mirai和Satori的殭屍網絡特性的殭屍網絡,專注於攻擊越南的設備。
2018年3月,Schuchman,Vamp和Drake繼續爲該殭屍網絡工作。這個被稱爲Tsunami或Fbot的殭屍網絡感染多達30000個設備,其中大部分是攝像頭。之後他們利用High Silicon DVR系統漏洞,用35000個設備擴展了殭屍網絡。美國當局表示,殭屍網絡能夠發起高達100Gbps的攻擊。
2018年4月,Schuchman從Vamp和Drake分離出來單幹,開發了另一個DDoS殭屍網絡——基於Qbot惡意軟件家族。該殭屍網絡主要致力於利用墨西哥電視網絡Telemax中的GPON路由器。Schuchman還與Vamp展開了競爭。
2018年7月,Schuchman與Vamp和解,但此時聯邦調查局(FBI)已經注意到了他,並在當月月末,聯邦調查局對其進行了“採訪”。
2018年8月21日,美國當局正式對Schuchman提出指控。但允許他在審判前的釋放條件下繼續逍遙法外。
2018年8月至10月,Schuchman通過訪問互聯網和開發一種新的殭屍網絡(基於Qbot),打破了審前釋放的條件。
2018年10月,美國當局拘留並關押了Schuchman。
Schuchman還對一項與計算機有關的欺詐活動中認罪。
最終Schuchman被判處13個月監禁,同時要在出獄後接受18個月的社區監禁和三年的監督釋放。
美國官員還對Vamp和Drake發起了指控,因其在建立殭屍網絡中的作用。
*本文出自SCA安全通信聯盟,轉載請註明出處。