El codificador de botnets DDoS recibe 13 meses de prisión


satori.png

Washington, de 22 años y originario de Vancouver, fue sentenciado hoy a 13 meses de prisión por crear y operar múltiples botnets DDoS formadas por enrutadores domésticos y otros dispositivos de pink e Web de las cosas (IoT).

El Departamento de Justicia de EE. UU. Dijo que Kenneth Currin Schuchman, conocido en línea bajo el nombre de Nexus Zeta, creó varias redes de bots IoT, que alquiló en línea para que otros pudieran lanzar ataques DDoS.

El Departamento de Justicia dijo que vinculaba a Schuchman con botnets conocidas en la industria de la seguridad cibernética con nombres en clave como Satori, Okiru, Masuta y Fbot / Tsunami. Se cree que sus botnets han infectado cientos de miles de dispositivos con malware.

Funcionarios estadounidenses dijeron que Schuchman tenía dos cómplices, identificados solo como Vamp y Drake, que también contribuyeron con código y funciones a las botnets.

Los funcionarios del Departamento de Justicia dijeron que además de alquilar las botnets a los compradores, Schuchman y sus asociados también usaron las botnets para atacar varios servicios y compañías en línea.

Las autoridades dijeron que Schuchman operó sus botnets entre agosto de 2017 y agosto de 2018, cuando fue acusado formalmente.

A Schuchman se le permitió permanecer en libertad, pero finalmente fue arrestado formalmente en octubre de 2018 después de romper sus condiciones de liberación previa al juicio.

A continuación se muestra un resumen de las acciones de Schuchman, como se detalla en su declaración de culpabilidad, que llegó en septiembre de 2019.

Julio a agosto de 2017 – Schuchman, Vamp y Drake crean la botnet Satori, basada en el código público del malware Mirai IoT. Las autoridades estadounidenses dijeron que esta versión inicial «extendió las capacidades de la botnet MiraDo DDoS, apuntó a dispositivos con vulnerabilidades Telnet y utilizó un sistema de escaneo mejorado prestado de otra botnet DDoS conocida como Remaiten». Incluso si esta primera botnet se basó únicamente en la explotación de dispositivos que se ejecutan con contraseñas configuradas de fábrica o fáciles de adivinar, Satori infectó más de 100,000 dispositivos en su primer mes de vida. Según documentos de la corte, Schuchman afirmó que más de 32,000 de estos dispositivos pertenecían a un gran ISP canadiense, y que la pink de bots era capaz de ataques DDoS de 1Tbps (el reclamo sigue sin probarse).

Septiembre a octubre 2017 – Los tres hackers mejoran la botnet Satori original en una nueva versión que comienzan a llamar Okiru. Esta versión también puede usar exploits para propagarse a dispositivos no parcheados. Un objetivo principal para la botnet Okiru fueron las cámaras de seguridad fabricadas por Goahead.

schuman-mugshot.png "height =" auto "width =" 270 "src =" https://zdnet2.cbsistatic.com/hub/i/r/2018/10/28/ef24490b-da6d-4948-8313-a78b44ae9b74 /resize/270xauto/54037457e0be0cd4eb9cb35d89f08b54/schuman-mugshot.png

Foto de Kenneth Currin Schuchman

Imagen: Rapsheets

Imagen: Rapsheets Noviembre de 2017 – Schuchman, Vamp y Drake evolucionan en Satori y Okiru. Crean una nueva versión llamada Masuta, que utilizan para apuntar a enrutadores GPON, e infectan más de 700,000 dispositivos. Su negocio de alquiler de DDOS alcanza su punto máximo. Schuchman también crea su botnet particular separada, que utiliza para atacar la infraestructura de ProxyPipe, una empresa de mitigación de DDoS.

Enero 2018 – Schuchman y Drake crean una botnet que combina características de las botnets Mirai y Satori, centrándose en la explotación de dispositivos basados ​​en Vietnam.

Marzo 2018 – Schuchman, Vamp y Drake continúan trabajando en esta botnet, que luego se conoce como Tsunami o Fbot, e infecta hasta 30,000 dispositivos, en su mayoría cámaras Goahead. Más tarde expanden la pink de bots con otros 35,000 dispositivos después de explotar vulnerabilidades en los sistemas de DVR de alto silicio. Las autoridades estadounidenses dijeron que la pink de bots period capaz de ataques de hasta 100 Gbps.

Abril 2018 – Schuchman se divide de Vamp y Drake y desarrolla otra botnet DDoS, esta vez basada en la familia de malware Qbot. Esta botnet se centró principalmente en explotar enrutadores GPON de la pink de la crimson de televisión mexicana Telemax. Schuchman también participa en una competencia con Vamp, ambos desarrollando botnets destinadas a obstaculizar las operaciones de los demás.

Julio 2018 – Schuchman se reconcilia con Vamp, pero para entonces el FBI lo ha localizado. El FBI entrevista a Schuchman más tarde ese mes.

21 agosto 2018 – Las autoridades estadounidenses acusan formalmente a Schuchman, pero le permiten permanecer en libertad, en condiciones de liberación previa al juicio.

Agosto a octubre 2018 – Schuchman rompe las condiciones de lanzamiento previas al juicio accediendo a Net y desarrollando una nueva botnet (basada en la cepa Qbot). También orquesta un ataque violento contra la residencia de Drake.

Octubre 2018 – Las autoridades estadounidenses detienen y encarcelan a Schuchman.

Los funcionarios estadounidenses no dijeron si acusaron a Vamp y Drake, pero dijeron que estaban al tanto de sus identidades del mundo genuine.

Schuchman se declaró culpable de un cargo de fraude y actividad relacionada en relación con las computadoras. Fue sentenciado hoy a 13 meses de prisión y también se le ordenó cumplir una pena de 18 meses de reclusión comunitaria luego de su liberación de la prisión y una libertad supervisada de tres años.

La identidad Nexus Zeta de Schuchman se vinculó por primera vez a la botnet Satori en un Informe de punto de command de diciembre de 2017.

El Departamento de Justicia también agradeció a empresas como Akamai, Cloudflare, Google, Oracle, Palo Alto Unit 42 y Unit 221B, LLC, así como a la Universidad de Cambridge, por su ayuda en la investigación.



Enlace a la noticia first