Ένας 21χρονος από το Vancouver της Washington, ομολόγησε ότι είναι υπεύθυνος για τη δημιουργία και τη λειτουργία πολλών DDoS botnet, που αποτελούνται από οικιακά router και άλλες συσκευές δικτύου και Internet of Things (IoT).
Ο ένοχος ονομάζεται Kenneth Currin Schuchman (στο Internet είναι γνωστός ως Nexus Zeta) και χρησιμοποιούσε τα botnets είτε για να τα «νοικιάζει», να επιτρέπει δηλαδή σε άλλους να αποκτούν πρόσβαση σε αυτά (επί πληρωμή) είτε για να πραγματοποιεί ο ίδιος επιθέσεις DDoS.
Οι αρχές ερευνούσαν την υπόθεση από το 2017. Ωστόσο, τώρα, με την ομολογία της ενοχής, ήρθαν στο φως περισσότερες λεπτομέρειες σχετικά με το πώς δρούσε ο Schuchman.
Ένα από τα πιο σημαντικά πράγματα που δεν είχε ανακαλυφθεί νωρίτερα είναι ότι ο Nexus Zeta δεν δρούσε μόνος του, αλλά με τη βοήθεια δυο άλλων hacker, οι οποίοι προσδιορίστηκαν στα δικαστικά έγγραφα ως Vamp και Drake.
Σύμφωνα με τις νέες πληροφορίες, ο Vamp ήταν ο βασικότερος προγραμματιστής, ο Drake διαχειριζόταν τις πωλήσεις των botnet και επικοινωνούσε με τους πελάτες, ενώ ο Nexus Zeta ήταν ο «δεύτερος» προγραμματιστής. Αυτός αναζητούσε νέες ευπάθειες, που θα μπορούσαν να εκμεταλλευτούν τα botnet για να μολύνουν τις συσκευές των θυμάτων.
Ακολουθεί το χρονικό της υπόθεσης μέχρι τη σύλληψη και την ομολογία του Schuchman:
Ιούλιος-Αύγουστος 2017: Οι τρεις δράστες δημιουργούν το botnet Satori, με βάση το δημόσιο κώδικα του IoT κακόβουλου λογισμικού Mirai. Οι αμερικανικές αρχές ερευνούσαν την υπόθεση και προειδοποιούσαν ότι το νέο botnet πραγματοποιεί πιο εξελιγμένες DdoS επιθέσεις, που εκμεταλλεύονται Telnet ευπάθειες. Το Satori botnet κατάφερε να μολύνει πάνω από 100.000 συσκευές κατά τη διάρκεια του πρώτου μήνα που χρησιμοποιήθηκε. Ο Schuchman δήλωσε ότι οι 32.000 συσκευές ανήκαν σε ένα μεγάλο καναδικό ISP.
Σεπτέμβριος-Οκτώβριος 2017: Οι Nexus Zeta, Vamp και Drake βελτιώνουν το αρχικό botnet Satori. Η νέα έκδοση ονομάζεται Okiru. Αυτή η έκδοση, όπως και προηγούμενη, εκμεταλλεύεται ευπάθειες για να εξαπλωθεί σε ευάλωτες συσκευές. Το Okiru botnet στόχευσε κυρίως κάμερες ασφαλείας της Goahead.
Νοέμβριος 2017: Οι τρεις hackers δημιουργούν μια νέα έκδοση του botnet, γνωστή ως Masuta. Η νέα έκδοση στοχεύει κυρίως GPON routers. Αυτή την περίοδο, οι δουλειές των hackers βρίσκονται στο αποκορύφωμά τους. Ο Schuchman δημιουργεί το δικό του botnet, το οποίο χρησιμοποιεί για να επιτεθεί στην υποδομή της ProxyPipe. Η ProxyPipe είναι μια επιχείρηση που προσπαθεί να αντιμετωπίσει τις DdoS επιθέσεις.
Ιανουάριος 2018: Οι Schuchman και Drake δημιουργούν ένα νέο botnet που δανείζεται χαρακτηριστικά από τα Mirai και Satori. Με το νέο botnet επιτίθενται κυρίως σε συσκευές στο Βιετνάμ.
Μάρτιος 2018: Οι τρεις hackers συνεργάζονται για να εξελίξουν το botnet των Schuchman και Drake. Η νέα εξελιγμένη έκδοση ονομάζεται Tsunami (γνωστή και ως Fbot) και μολύνει περίπου 30.000 συσκευές, κυρίως κάμερες της Goahead. Αργότερα, άλλες 35.000 επιθέσεις γίνονται γνωστές.
Απρίλιος 2018: Ο Schuchman αποχωρεί από την ομάδα και δημιουργεί ένα άλλο DDoS botnet, που βασίζεται στο Qbot malware και εκμεταλλεύεται GPON routers. Οι Schuchman και Vamp συμμετέχουν σε ένα διαγωνισμό και ο ένας προσπαθεί να παρεμποδίσει τη δουλειά του άλλου.
Ιούλιος 2018: Οι Schuchman και Vamp συμφιλιώνονται και αρχίζουν να συνεργάζονται ξανά. Αλλά το FBI εντοπίζει τον Schuchman και τον συλλαμβάνει για να τον ανακρίνει.
21 Αυγούστου 2018: Ο Schuchman κατηγορείται επίσημα από τις αρχές των ΗΠΑ, αλλά δεν του δίνουν ποινή φυλάκισης ακόμα. Ωστόσο, είναι ελεύθερος υπό προϋποθέσεις.
Αύγουστος-Οκτώβριος 2018: Ο Schuchman δεν τηρεί τους όρους της ελευθερίας του και δημιουργεί ένα νέο botnet με το οποίο επιτίθεται στην κατοικία του Drake.
Οκτώβριος 2018: Οι αρχές των ΗΠΑ φυλακίζουν τον Schuchman.
Μετά την ομολογία του, το δικαστήριο αποφάσισε να επιβάλει στον Schuchman δέκα χρόνια φυλάκισης, πρόστιμο ύψους 250.000 δολαρίων, και τρία χρόνια ελεγχόμενης ελευθερίας.
Ο Schuchman έχει σύνδρομο Asperger και αυτισμό. Εδώ και αρκετά χρόνια επισκεπτόταν το HackForums, ένα φόρουμ στο οποίο συζητούνται τεχνικές hacking και άλλα. Πιστεύεται ότι από εκεί απέκτησε τις γνώσεις και τις δεξιότητές τους.
Οι αρχές κατάφεραν να εντοπίσουν τον Schuchman επειδή χρησιμοποιούσε τα στοιχεία ταυτότητας του πατέρα του και τα credentials του. Αργότερα χρησιμοποίησε τα ίδια στοιχεία για τις ύποπτες δραστηριότητές του.
