Kilka miesięcy temu natrafiłem na interesujący artykuł, w którym nastoletni botmaster zdradza dziennikarzowi kulisy swoich zabaw. Spróbuję z całej historii wybrać wątki szczególnie warte uwagi.
W maju 2005, 16 letni haker o ksywce SoBe otworzył drzwi i ujrzał ekipę agentów FBI (Boca Raton, Floryda). Z uwagi na fakt, że po wypadku motocyklowym SoBe był trochę uszkodzony, nie myślał o ucieczce. Został skuty i wraz ze sprzętem elektronicznym zabrany w celu bynajmniej średnio przyjemnym. W tym samym czasie 2 700 mil od miejsca aresztowania (Los Angeles, California) FBI przygotowuje nakazy dla Jeanson James Ancheta – 20 letniego nauczyciela i mentora SoBe. W przeciągu 6 miesięcy FBI już raz odwiedziło Ancheta co było wyraźnym sygnałem, że powinien przystopować. Tak się jednak nie stało. Po pierwszej wizycie u Ancheta, wraz z SoBe kontynuowali przejmowanie tysięcy komputerów i infekowanie ich aplikacjami Adware. Nawet po aresztowaniu Ancheta i oskarżeniu go o 17 przestępstw, w tym przejęcie 400 000 komputerów (także tych należących do Departamentu Obrony USA) – SoBe zupełnie bezkarnie kontynuował proceder.
W miesiąc po aresztowaniu Ancheta, na internetowym chacie SoBe grał twardziela:
„to właśnie dlatego kocham te czasy, wszystko to komputery… heh…”
W maju 2006 roku Ancheta otrzymał wyrok w postaci spędzenia 57 miesięcy w więzieniu, co zaskoczyło SoBe.
Wszystko zaczęło się psuć przez drobną pomyłkę Ancheta, który zaczął sprzedawać usługi oparte o sieci botnet.
W listopadzie 2005 roku, kilka dni po oskarżeniu Ancheta, SoBe rozpoczął korespondencję z autorem tekstu.
SoBe szybko permanentnie pożegnał się ze szkołą i z racji wolnego czasu i braku zainteresowania ze strony rodziców – spędzał czas grając w World of Warcraft, interesując się szybkimi motocyklami i hakingiem. Ucząc się kodowania w C++ i odwiedzając kanały IRC odnalazł kanał #bottalk gdzie spotkał Ancheta. Ancheta w odróżnieniu od dużej ilości osób z „bot sceny”, potrafił udowodnić, że jego chwalenie się, że posiada duża ilość komputerów pod swoją kontrolą nie jest wyłącznie wciskaniem kitu. Dodatkowo SoBe zafascynował profil Ancheta na stronie MySpace, gdzie czarno na białym widniało, że Ancheta nie był standardowym przykładem nudnego informatyka, a był imprezującym gościem z mnóstwem znajomych.
Ich współpraca na początku polegała na podmienianiu stron internetowych i przejmowaniu niezabezpieczonych serwerów. Następnie skoncentrowali swoje siły na wynajmowaniu botów na kanale $botz4sale (rzekomo jak twierdzą oskarżyciele, zarobki wynosiły 3 000 $, ale w rzeczywistości na pewno były większe).
Dodatkowe zyski czerpali z instalowania na przejętych komputerach oprogramowania typu Adware. W niecały rok śledczy dotarli do zarobków rzędu 58 000 $.
Jak zeznaje SoBe, byli przekonani o swojej sile i wierzyli, że są niepokonani. Gdy FBI (grudzień 2004) pierwszy raz odwiedza Ancheta – ten powraca do gry kilka dni po tym fakcie i kontynuują współpracę.
„To nie ma znaczenia. James wyjdzie i w przeciągu miesiąca zrobi trzy razy więcej i będzie jeszcze trudniejszy do wykrycia” – upierał się SoBe.
Obaj nie wiedzieli, że w ich sprawie zostało wszczęte specjalnie postępowanie przez agentów FBI. Podstawowym błędem Ancheta było ogłaszanie się na obserwowanym kanale #botz4sale
„Do tego czasu nie obserwowaliśmy niczego niezwykłego. Każdy kto jest na tyle odważny aby ogłaszać się ze sprzedażą botów na internetowych listach ogłoszeń – powinien zwracać naszą uwagę” – zeznawał agent FBI Ken McGuire.
Po zmodyfikowaniu bota rxbot, ich własny twór zadziałał przeciwko nim samym, gdyż skanował własne podsieci co doprowadziło do infiltracji maszyn należących do centrów naukowych oraz rządowych.
„Masa dobrych dowodów pochodziła z komputerów rządowych” – mówił McGuire.
W sierpniu 2004 roku zostali ostrzeżeni (na IRCu), aby trzymali swoje boty z daleka od domen .gov i .mils (rządowe), jednak już po dwóch miesiącach SoBe pisał do Ancheta
„hej, swoją drogą mamy maszyny z gov/mil jeśli jesteś zainteresowany…”
Straszliwy błąd popełnił SoBe, gdyż wydzierżawił serwer do zarządzania armią botów, na swoje prawdziwe nazwisko i adres. Co jeszcze ciekawsze, oprogramowanie służące do zarządzania komputerami (IRC daemon) uzyskali od hakera Jonathana Halla, który został oskarżony w 2004 roku – lecz nigdy nie skazany! (zapewne w ramach współpracy i ujawnienia takich szczegółów, wyrok został obniżony do 0). Śledczy uzyskali tajne hasło umożliwiające przejęcie oprogramowania zarządzającego. Hall odkrył backdoora w oprogramowaniu, które początkowo napisał Lee Graham Walker (swoją drogą kolejny oskarżony w operacji przeciwko cyberprzestępcom – Operation Cyberslam), a które było potem modyfikowane przez wielu różnych ludzi z całego świata. Ciężko jest aktualnie odnaleźć osobę, która dodała specjalny kod umożliwiający przejęcie serwera.
Do samego końca byli przekonani o swojej niewinności. Myśleli, że wyrok skończy się maksymalnie dozorem.
„Pasek narzędziowy Google to taki sam pasek narzędziowy jak instalowany automatycznie przez nas. Instalując legalne oprogramowanie AOL AIM, dodatkowo instalujesz tonę śmieci. Myślisz, że instalujesz AIM ale dostajesz w prezencie dodatkowe paski narzędziowe. Nie wiem dlaczego ale nie mam nic przeciwko instalowaniu spyware na komputerach innych ludzi.”
Kilka miesięcy po aresztowaniu Ancheta, SoBe chwalił się, że pracuje nad nowym robakiem wykorzystującym do rozprzestrzeniania się komunikaty do znajomych z listy kontaktów komunikatora AIM Instant Messenger.
„Jeśli ktoś z Twoich znajomych przesyła Ci wiadomość, a Ty znasz tę osobę to nie klikniesz? Większość osób klika bez zastanowienia się dwa razy, a to daje nam możliwość zarabiania kasy.”
Po szeregu negatywnych informacji, na krótki okres SoBe wrócił do imprezowania i szybkiej jazdy na motorze. Co ciekawe dziwił się:
„To rzecz, której nigdy nie zrozumiem. Ludzie okradają się dla drobnych albo worka trawy”.
Jednak szybko znudził się swoim zachowaniem i postanowił wrócić do tworzenia botów.
„Są ludzie, którzy nadal będą to robili, lepiej i szybciej. I nigdy nie zostaną złapani. Podstawowym błędem było ogłoszenie na kanale #botz4sale”
– mówił SoBe.
Komunikacja autora z SoBe (po zamknięciu Ancheta) została ograniczona do minimum. Jednak po otrzymaniu przez SoBe informacji, że federalni interesują się jego wspólnikiem o ksywce Acid, stwierdził, że czas się spakować i wyjechać do Meksyku. Swoją drogą Acid – 26 letni John Kenneth Schiefer został uznany 4 przestępstw około botnetowych.
Może ostatnie słowa z konwersacji autora z SoBe staną się dla niektórych dobrą radą:
„Z tego co wiem, to już ostatecznie koniec. Powiedzieli mi 2 lata temu, że zostanę oskarżony i ten czas musiał nadejść. Podejrzewam, że muszę zapłacić za gówno, w które się wpakowałem gdy byłem dzieciakiem…”
Źródło: http://www.theregister.co.uk/2008/05/08/downfall_of_botnet_master_sobe_owns/