Правоохранительные органы США и Канады недавно арестовали и предъявили обвинение канадцу, подозреваемому в использовании распределенного ботнета типа «отказ в обслуживании» (DDoS) «KimWolf», который заразил почти два миллиона устройств по всему миру.

Согласно публичному обвинительному заключению, 23-летний канадец Джейкоб Батлер, известный в Интернете как «Дорт», был арестован местными правоохранительными органами в Оттаве, Канада, в среду на основании ордера на экстрадицию США. В уголовном иске, раскрытом прокуратурой США по округу Аляска в четверг, говорится, что следователи связали Батлера с оперативной деятельностью ботнета «KimWolf» через IP-адреса и информацию об онлайн-аккаунтах, записи соответствующих транзакций и записи сетевых коммуникаций.

Прокуроры обвинили Батлера в пособничестве и подстрекательстве к компьютерным взломам, и в настоящее время ему предъявлено соответствующее обвинение, за которое может быть назначено максимальное наказание в виде 10 лет тюремного заключения. Впоследствии он будет экстрадирован в США для суда. Согласно материалам дела, «KimWolf» действовал как платный «DDoS-прокси»-сервис и использовался киберпреступниками для запуска высокоинтенсивных атак типа «отказ в обслуживании». Объем трафика некоторых атак однажды достигал 30 терабит в секунду, что сделало эту атаку одной из крупнейших DDoS-атак, публично раскрытых на тот момент.

Расследование показало, что Батлер использовал модель «киберпреступления как услуги», продавая крупномасштабную «бройлерную» сеть, которую он контролировал, другим на основе просмотра или подписки для использования в атаках. Эти управляемые устройства варьируются от цифровых фоторамок и веб-камер до ТВ-приставок на базе Android и устройств воспроизведения потокового мультимедиа.

По имеющимся данным, ботнет «KimWolf» использовался для запуска более 25 000 атак по всему миру, нацеленных на различные компьютеры и серверы, включая IP-адреса, связанные с информационной сетью Министерства обороны США (DoDIN). Утверждается, что в результате некоторые учреждения-жертвы понесли финансовые потери на сумму более 1 миллиона долларов.

Компания по кибербезопасности Synthient отслеживает расширение «KimWolf» и в январе этого года опубликовала отчет, в котором говорится, что ботнет быстро расширился до почти 2 миллионов зараженных устройств после использования уязвимостей локальной прокси-сети для атаки на устройства Android. Исследователи также заявили, что «KimWolf» может генерировать около 12 миллионов уникальных IP-адресов каждую неделю, что используется для сокрытия истинного источника атак и повышения устойчивости к атакам.

В то же время Федеральный суд США по Центральному округу Калифорнии также распечатал несколько постановлений об аресте и осуществил арест доменных имен и инфраструктуры в отношении 45 платформ, предоставляющих прокси-услуги DDoS, что затронуло ряд платформ, которые имеют отношения сотрудничества с «KimWolf». Министерство юстиции США заявило, что правоохранительные органы изъяли записи доменных имен, связанные с этими услугами, и перенаправили запросы на доступ на официальные страницы с предупреждениями, чтобы напомнить общественности, что прокси-сервисы DDoS являются незаконными.

Арест Батлера стал еще одним ключевым событием после транснациональной операции правоохранительных органов в марте этого года. В ходе этой операции США, Германия и Канада совместно работали над захватом и отключением инфраструктуры управления и контроля «KimWolf» и трех связанных с ним ботнетов: «Aisuru», «JackSkid» и «Mossad». Эти четыре ботнета вместе заразили более 3 миллионов устройств IoT.

В то время Министерство юстиции сообщило, что большое количество «бройлеров» этих ботнетов включало веб-камеры, цифровые видеорегистраторы и Wi-Fi-маршрутизаторы, и значительная часть из них располагалась в Соединенных Штатах. Правоохранительные органы подчеркнули, что они будут продолжать работать с международными партнерами, чтобы выявить и уничтожить такую ​​крупномасштабную вредоносную инфраструктуру, и в то же время привлечь к уголовной ответственности тех, кто за кулисами.