Em setembro de 2016, o mundo da tecnologia foi abalado por algo que estava previsto só para ocorrer daqui a alguns anos. Milhares de dispositivos inteligentes que formam a chamada internet das coisas (IoT) foram atacados com um poderoso worm que os transformou em aparelhos zumbis. Comandados por somente um hacker, eles fizeram diversos ataque gigantescos de negação de serviço (DDoS) e tiraram empresas do ar em segundos.

O comandante do ataque? Alguém que assinava Anna-Senpai (pseudônimo tirado de uma garotinha que é personagem de um desenho japonês). Sua ferramenta? O poderoso worm que ficou conhecido como Mirai, responsável por criar uma monstruosa rede zumbi de roteadores, câmeras de segurança e centenas de milhares de dispositivos IoT controlados para atacar a qualquer momento.

Essa rede zumbi de dispositivos de internet das coisas, tecnicamente chamada de botnet, acertou outros alvos naquele setembro fatídico de 2016. Um deles foi o site do especialista em segurança Brian Krebs, que notou coincidências com casos recentes de invasões e algumas histórias curiosas que pareciam se encaixar.

Tudo começou em um jogo
Seguindo as pistas por meses, Krebs descobriu que o código malicioso que espantou o mundo ao mostrar a fragilidade da IoT começou a ganhar consistência em uma briga desleal pelo mercado de hospedagem e segurança do jogo Minecraft (atualmente de propriedade da Microsoft), um game no qual jogadores montam mundos próprios com blocos funcionais e gastam com itens e lugar onde abrigar isso.

“Um grande e bem-sucedido servidor Minecraft, com mais de mil jogadores conectados a cada dia, pode facilmente gerar ganhos acima de US$ 50 mil por mês para seus donos”, explica Krebs num post longo sobre o trabalho de investigação. E existem empresas especializadas em vender hospedagem e segurança para donos de servidores Minecraft. Esse mercado é extremamente volátil. Se um serviço fica fora do ar, os jogadores saem para outros servidores. A fuga tira milhares de dólares dos donos dos servidores, que não têm alternativa a não ser recorrem a outros prestadores de serviço, sem muito questionamento.

Krebs descobriu um caso curioso e informações preciosas sobre esse mercado acirrado. Foi o início da montagem do quebra-cabeça. Uma empresa que hospeda servidores de Minecraft, a ProxyPipe havia recebido um ataque DDoS de uma concorrente. De olho nos clientes da primeira, cada onda do ataque era acompanhada de ofertas para mudança de prestador de serviços e garantias de estabilidade. O resultado foi uma migração em massa de clientes para a concorrente.

O fundador, e único funcionário da atacante, um garoto de 17 anos, foi o autor da deslealdade comercial, executada com o melhoramento de um worm de botnet para IoT. Não o que causou o estrago de setembro de 2016, era um mais antigo, porém com várias semelhanças na atividade e linhas de código.

Por trás da briga por serviços de segurança de servidores de jogo Minecraft, Krebs detalha outro segmento lucrativo que impulsionou invasões massivas de dispositivos de internet das coisas.

No submundo da internet, é possível alugar ferramentas e capacidade computacional para realizar ataques de negação de serviço. Há concorrentes nesse segmento se digladiando também. Diversas botnets e poderosas máquinas que foram dominadas para centralizar ataques podem ser alugadas por minutos, horas ou dias. É um mercado simples, sem muitas perguntas, basta solicitar e pagar.

Foi seguindo a pista da briga comercial sem regras dos provedores de serviços e segurança para servidores de Minecraft e entrando nesse lado escuro do aluguel de tecnologia para ataques que Krebs achou o primeiro personagem central da história.

Um pedaço do Mirai, que fez os ataques de setembro de 2016, estava em mensagens trocadas por um programador habilidoso e cibercriminosos. Aparentemente, houve chantagem para que o código fosse repassado. Cibercriminosos ameaçaram publicar informações pessoais desse técnico e transformar sua vida num inferno, com o uso de uma tática chamada “swat”. Nessa ação, cria-se uma farsa de um sequestro ou ameaça de bomba para que esquadrões da polícia invadam uma residência ou empresa e os donos percam tempo com explicações, investigações, além de ficarem marcados perante mídia e vizinhos.

Krebs descobre ligações e provas desse técnico com o worm que abalou a IoT, depois, prossegue por nomes e empresas nesse submundo da tecnologia. Descreve como cibercriminosos aproveitam o trabalho de outros, ameaças que rondam as conversas desse tipo de gente e o recrutamento para grupos de hackers do mal. Uma guerra de egos e intimidações que foi decisiva para a criação do Mirai.

Jovens talentos desviados
A investigação fica cada vez mais ligada ao mercado de empresas que prestam serviço de segurança e mitigação de ataques DDoS para donos de servidores Minecraft. Mais companhias e mais jovens executivos vão preenchendo o quebra-cabeças de quem é Anna-Senpai e como surgiu o código Mirai.

A certa altura, ele descobre que o suspeito se ser Anna-Senpai tem um histórico frustrado em tentar ganhar dinheiro com servidores Minecraft. Ao tentar entrar nesse ramo, ele sofreu diversos ataques, inviabilizando sua recém-criada empresa. Posteriormente, o suspeito – até então um jovem empreendedor comum – relata que mudou de ramo ao descobrir que poderia fazer mais dinheiro oferecendo mitigação de DDoS a esses servidores. Mas ao ter contato com pessoas erradas, seus planos mudaram drasticamente e ele foi tentado a fazer ainda mais dinheiro lançando os próprios ataques.

O suspeito começou a ganhar consistência na história dos ataques de setembro de 2016 aos poucos. Ele também participava de fóruns de animes (desenhos japoneses) e um dos posts sobre as últimas séries assistidas destacava ser fão do anime Mirai Nikki. As evidências começavam a ficar quentes nas mãos de Krebs.

Cruzando informações, o especialista descobre o verdadeiro autor do ataque que usou o código Mirai, que quase fulminou as expectativas sobre o futuro da internet das coisas. O hacker que assinou com o pseudônimo de Anna-Senpai tinha perfil no Linkedin, era CEO de uma empresa de segurança e sua bio exibia que era uma pessoa “empreendedora e apaixonada por criar”.

Mercado de botnets
A cada passo da investigação ficava também mais claro que o jovem executivo que parecia ser o hacker de IoT não tirava dinheiro da própria empresa e sim do Mirai. Evidências apontavam que ele cuidava com zelo de sua criação. Anna-Senpai passava muito do seu tempo tentando impedir que outras botnets de IoT crescessem e roubassem mercado do Mirai.

Anna-Senpai avisava provedores de internet que eles estavam sendo usados para abrigar outras botnets que atacavam dispositivos de IoT. Caso eles não tomassem providência (desligando os canais e máquinas por onde isso passava), eles eram alvejados com monstruosos ataques do Mirai até ficarem fora do ar completamente.

Ele não fazia isso como se fosse um Robin Hood digital ou um vingador cibernético. Tudo era apenas negócio. Anna-Senpai alugava pedaços da botnet Mirai para outros hackers e para donos de servidores de Minecraft que queriam derrubar um concorrente– e fez isso efetivamente para ganhar dinheiro, muito dinheiro.

Exemplo do lado escuro
A história toda, contada no longo post de Krebs, é uma investigação primorosa e mostra que por trás de um site derrubado pode estar a ganância de jovens empreendedores da tecnologia, desilusões com a carreira, brigas comerciais e uma batalha de arrogância de quem sabe programar linguagens de computador. Tudo isso acontecendo em chats obscuros, serviços anônimos de crimes digitais e muita publicação de pistas falsas para evitar contratempos.

“Se você já se perguntou por que parece que tão poucos criminosos da Internet são levados à justiça, posso dizer-lhe que é enorme a quantidade de persistência e recursos de investigação necessários para reunir quem fez o que para quem (e por que) na era on-line”, avisa Krebs sob seu trabalho.

Acesse os outros sites da VideoPress

Portal Vida Moderna – www.vidamoderna.com.br

Radar Nacional – www.radarnacional.com.br

–