کمیته رکن چهارم – سرانجام پس از ماهها جمعآوری اطلاعات و مستندات در ارتباط با نویسنده بدافزار Mirai موفق شدم از شخصی به نام عمار زوبری اطلاعاتی را در ارتباط با پاراس جیها به دست آورم. زوبری در این ارتباط به من گفت که جیها مسئولیت باتنت Mirai و حمله منع سرویس انکار شده بر علیه دانشگاه راتگرز را پذیرفته است. زوبری گفته است اولین بار در سال ۲۰۱۵ و در دانشگاه راتگرز با جیها ملاقات داشتم و در همان زمان بود که جیها با افتخار به من گفت که چند سرویس حمله منع سرویس توزیع شده را به صورت کامل پیادهسازی کرده است. به نظر میرسد که جیها تنها به دنبال آن بوده است تا بداند عمق این حملات تا به کجا میتوانند پیش روی کنند.
به گزارش کمیته رکن چهارم،اگر به یاد داشته باشید، چند ماه قبل سایت پژوهشگر معروف حوزه امنیت برایان کربس در شرایطی تحت حمله منع سرویس انکار شده قرار گرفت که این کارشناس خود از یک مکانیزم دفع حملات DDoS استفاده میکرد. این پژوهشگر از آن زمان تا به امروز به دنبال آن بود تا نویسنده بدافزار Mirai را شناسایی کند. پس از ماهها تحقیق گسترده در این زمینه او موفق شد نویسنده بدافزار Mirai (آنا سنپایی) را شناسایی کند. اما این تمام ماجرا نیست و این نام تنها یک اسم مستعار است.
باتنت Mirai که کدهای اصلی آن نیز در فصای مجازی منتشر شده است در چند ماه اخیر نگاه بسیاری از رسانهها را به خود جلب کرد. این بدافزار با استفاده از دستگاههای اینترنت اشیا و عمدتا دوربینهای نظارتی تحت شبکه قادر بود یک حمله منع سرویس توزیع شده عظیم را به وجود آورد. همان حملهای که سرویس DNS شرکت داین را درنوردید و باعث شد برای چند ساعت اختلال شدیدی در دسترسی به سایتهای خاص به وجود آید. توییتر، آمازون، نتفلیکس تنها چند نمونه از سایتهای مشهوری بودند که به واسطه این حمله به مدت چند ساعت از دسترس خارج شدند و بدتر آنکه مالکان این سایتها در ارتباط با این حمله کار چندان خاصی نمیتوانستند انجام دهند.
در اکتبر مصادف با مهرماه بود که کدهای اصلی این بدافزار به شکل همگانی منتشر شد و درست از همان زمان کربس تصمیم گرفت به سراغ انجمن معروف نفوذگران به نام Hackforum رفته و این کدها را تحلیل کند. در این تحلیل مشخص شد یکی از کاربران این انجمن موسوم به آنا سنپایی لینکی را به اشتراک قرار داده بود که به کدهای اصلی بدافزار Mirai اشاره میکرد. کربس در این ارتباط گفته است: «کدهای اصلی مربوط به این بدافزار به زبان انگلیسی روز جمعه در انجمن Hackforums منتشر شد. نام این بدافزار Mirai بود و به طور مستمر دستگاههای اینترنت اشیا آسیبپذیر را مورد اسکن قرار میداد. دستگاههایی که به طور پیش فرض از گواهینامههای کارخانه، نام کاربری و گذرواژههای هاردکد (hard-coded) استفاده میکردند.»
بدافزار Mirai با هدف آلودهسازی دستگاههای اینترنت اشیا از طریق تنظیمات ارائه شده از سوی کارخانهها طراحی شده بود. این بدافزار درست از همان نقطه ضعفی که امروزه در بسیاری از دستگاهها قرار دارد استفاده کرده بود. کربس بر این باور است که هویت واقعی آنا سنپای که برای اولین بار لینک مربوط به Mirai را به اشتراک قرار داده بود را شناسایی کرده است. کربس در این خصوص گفته است: «نام واقعی این شخص پاراس جیها است. جیها مالک یک شرکت امنیتی به نام ProTraf است. فعالیت اصلی این شرکت در ارتباط با کاهش تهدیداتی است که از سوی حملات منع سرویس انکار شده رخ میدهد.»
کربس در ارتباط با این ادعا در سایت خود نوشته است: «سرانجام پس از ماهها جمعآوری اطلاعات و مستندات در ارتباط با نویسنده بدافزار Mirai موفق شدم از شخصی به نام عمار زوبری اطلاعاتی را در ارتباط با پاراس جیها به دست آورم. زوبری در این ارتباط به من گفت که جیها مسئولیت باتنت Mirai و حمله منع سرویس انکار شده بر علیه دانشگاه راتگرز را پذیرفته است. زوبری گفته است اولین بار در سال ۲۰۱۵ و در دانشگاه راتگرز با جیها ملاقات داشتم و در همان زمان بود که جیها با افتخار به من گفت که چند سرویس حمله منع سرویس توزیع شده را به صورت کامل پیادهسازی کرده است. به نظر میرسد که جیها تنها به دنبال آن بوده است تا بداند عمق این حملات تا به کجا میتوانند پیش روی کنند.» کربس در بخشی از تحقیقات خود کشف کرد که آنا سنپایی از نام مستعار Ogmemes123123 و آدرس ایمیل ogmemes123123@gmail.com و همچنین نام مستعار OG_Richard_Stallmann نیز استفاده کرده است. از این آدرس ایمیل برای ساخت یک حساب کاربری در فیسبوک نیز استفاده شده است.
حساب کاربری OG_Richard_Stallman در سال ۲۰۱۵ و درست همان زمان که جیها در رشته مهندسی کامپیوتر در دانشگاه راتگرز به تحصیل مشغول بود ساخته شده است. در همان سال سامانههای دانشگاه راتگرز در معرض حملات منع سرویس توزیع شده قرار گرفتند و به فاصله کوتاهی شخص ناشناسی به مسئولان دانشگاه پیشنهاد داده بود تا از یک محصول جامع برای دفع حملات منع سرویس انکار شده استفاده کنند. کربس در تحقیقات خود متوجه شد که جیها در صفحه لینکدین یک پروفایل ساخته است. او در این صفحه به مهارتهایی اشاره کرده است که آنا سنپایی در انجمن هکری HackForums نیز به این مهارتها اشاره کرده است.