A coleção de milhões de computadores hackeados, conhecidos como Aisuru e Kimwolf, foram usados para lançar alguns dos maiores ataques distribuídos de negação de serviço (DDoS) já vistos. Agora, as agências de aplicação da lei dos Estados Unidos eliminaram ambos da Web, juntamente com duas das outras hordas de computadores sequestrados – conhecidos como botnets – numa única e ampla remoção.
Na quinta-feira, o Departamento de Justiça dos EUA, trabalhando com a agência de combate ao crime cibernético do Departamento de Defesa dos EUA, conhecida como Serviço de Investigação Prison de Defesa, anunciou que havia desmantelado quatro enormes botnets em uma única operação, removendo os servidores de comando e controle usados para comandar os exércitos de dispositivos comprometidos controlados por hackers, conhecidos pelos nomes JackSkid, Mossad, Aisuru e Kimwolf. Juntos, os operadores das quatro botnets acumularam mais de 3 milhões de dispositivos, disse o Departamento de Justiça, e muitas vezes venderam o acesso a esses dispositivos a outros hackers criminosos, bem como usaram-nos para atingir vítimas com inundações esmagadoras de tráfego de ataque para colocar websites e serviços de Web offline.
Aisuru e Kimwolf, um botnet distinto, mas relacionado ao Aisuru, compreendiam juntos mais de um milhão de dispositivos, de acordo com a empresa de defesa DDoS Cloudflarecom Aisuru infectando uma variedade de dispositivos, desde DVRs a dispositivos de rede e webcams, e sua ramificação Kimwolf infectando dispositivos Android, incluindo good TVs e decodificadores. A Cloudflare afirma que as duas botnets, trabalhando em conjunto, realizaram um ataque cibernético contra um cliente da Cloudflare em novembro passado, que atingiu mais de 30 terabits de dados por segundo, quase três vezes o tamanho do maior ataque anterior.
Nenhuma prisão foi anunciada imediatamente junto com as remoções, mas uma declaração do Departamento de Justiça observou que o governo dos EUA estava colaborando com as autoridades canadenses e alemãs, “que tinham como alvo indivíduos que operavam essas botnets”.
“Os Estados Unidos estão firmes no nosso compromisso de salvaguardar a infra-estrutura crítica da Web e de combater os cibercriminosos que põem em risco a sua segurança, onde quer que vivam”, escreveu o procurador dos EUA, Michael J. Heyman, num comunicado.
Das quatro botnets eliminadas na operação, Aisuru ganhou mais notoriedade, graças a uma série de ataques cibernéticos recordes ou quase recordes que realizou no outono passado. A botnet, cujo uso foi alugado como muitos desses serviços “booter”, oferecendo suas capacidades disruptivas de força bruta a qualquer pessoa disposta a pagar, tem sido mais visivelmente contra serviços de jogos como Minecraft e o jornalista independente de segurança cibernética Brian Krebs. Krebs, que investigou extensivamente o botnet underground e Aisuru em explicit, sofreu repetidos ataques da botnet no ano passado.
Então, em novembro, a Cloudflare absorveu um ataque combinado recorde de Aisuru e Kimwolf que durou apenas 35 segundos, mas atingiu 31,4 terabits por segundo, um quantity de tráfego de ataque quase o triplo do tamanho de qualquer outro visto antes. (A empresa não revelou quais de seus clientes foram atingidos pelo ataque.)
Em um relatório sobre o estado do ecossistema DDoS, a Cloudflare descreveu o tráfego máximo de ataque das botnets Aisuru e Kimwolf combinadas como equivalente a “as populações combinadas do Reino Unido, Alemanha e Espanha, todas digitando simultaneamente o endereço de um website e pressionando ‘enter’ no mesmo segundo”. A botnet foi capaz, escreveram os analistas da Cloudflare, de “lançar ataques DDoS que podem paralisar infraestruturas críticas, travar a maioria das soluções legadas de proteção DDoS baseadas na nuvem e até mesmo interromper a conectividade de nações inteiras”.
Na verdade, todas as quatro botnets interrompidas pela operação nos EUA eram variantes do Mirai, uma botnet da Web das Coisas que apareceu pela primeira vez em 2016, quebrou recordes na altura pela dimensão dos ataques cibernéticos que permitiu e acabou por ser utilizada num ataque ao fornecedor de serviços de nomes de domínio Dyn, que derrubou 175.000 web sites simultaneamente em grande parte dos Estados Unidos. Desde então, a base de código da Mirai serviu como ponto de partida para uma década de outras botnets da Web das Coisas.
