Tavaly ősszel sokat hallhattuk a Mirai nevet, mikor rekordokat döntögető DDoS-támadások ütöttek ki olyan oldalakat, mint például a Reddit, a Twitter, vagy a Spotify. A Mirainak nagy része volt ebben, hiszen egy olyan, több, mint félmillió eszközből, például routerekből, biztonsági kamerákból álló zombihálózatként funkcionált, mely másodpercenként több gigabitnyi adattal volt képes bombázni a céloldalakat, míg azok össze nem omlottak. A Mirai forráskódját megosztották az interneten, ezzel gyorsabban és messzebbre terjedhetett. Brian Krebs internetbiztonsági szakértő most befejezte hónapokig tartó nyomozását a Mirai eredetével kapcsolatban és egészen meglepő eredményre jutott: a Minecraftra.
A vizsgálat során kiderült, hogy a Mirai őseinek több változata és neve volt, például a Bashlike és a Torlus. 2014-ben egy „lelddos” név alatt működő csoport tűnt fel, akik teljesen nyilvánosan használták a kódot nagyméretű, összehangolt támadások kivitelezésére. A leggyakoribb célpontok közé olyan webszerverek tartoztak, melyek a Minecraftnak adtak otthont.
Egy ilyen szerver akár ötvenezer dollárt is hozhat havonta abból, hogy a játékosok helyet bérelnek rajta, vagy tárgyakat vásárolnak. Ez kitűnő célponttá tette őket a DDoS-támadások számára, de a botnetesek szándéka nem az volt, hogy egyszerűen kiiktassák a szervereket – sok támadás arra irányult, hogy az adott szerver tulajdonosai átváltsanak az egyik biztonsági cégtől egy másikra.
A ProxyPipe nevű cég alelnöke, Robert Coelho például azt mondta Krebsnek, hogy 2015-ben a konkurens ProTraf Solutions indított ellenük DDoS-támadást. A nyomozó mélyebbre ásott és rájött, hogy a ProTraf elnöke (a cég maga csupán kétfős) nem más, mint a Mirai botnet-féreg írója, becenevén dreadiscool vagy Anna-Senpai. A bizonyítékokat Krebs be is mutatta saját oldalán.
Ahogy írja, egy Google-keresés a „dreadiscool” névre fórumfiókok tucatjait dobja fel, melyek programozással, vagy a Minecrafttal foglalkoznak. Sok esetben a fiók tulajdonosa nyilvánvalóan frusztrált a Minecraft-szerverét ért támadások miatt és tanácsot kér a kivédésükre. Egy ponton azonban úgy dönthetett, hogy kevésbé frusztráló és anyagilag sokkal jobban jövedelmez az, ha nem szervert tart fent, hanem védelmi szolgáltatást nyújt.
Krebs arra is talált bizonyítékot, hogy a tavaly szeptemberben a francia OSH szolgáltató elleni támadások igazából a cég Minecraft-szervereit célozták meg. A Coelho és dreadiscool közti egyik beszélgetésben a Mirai írója azzal dicsekszik, hogy egy nagy Minecraft-szerver tulajdonosai épp fizetnek neki, hogy támadja meg a Hypixelt, a világ legnépszerűbb Minecraft-szerverét. Krebs biztonsági cége megerősítette, hogy a kérdéses időpontban, szeptember 27. és 30. között valóban támadták a Hypixelt. A támadás célja nem csupán a közvetlen pénzvesztés volt, hanem az ügyfelek felidegesítése is, hogy végül egy másik szerverre költözzenek át.
Ha a jelentés igaz, akkor úgy tűnik, hogy a legnagyobb DDoS-támadások története a Minecraft-szerverek közti versengéssel indult. Nem rossz egy olyan játéktól, mely pixelkockákra épül…
