برایان کربس، جزییات بررسیهای خود را درباره آنا سنپایی، نویسنده بدافزار Mirai، منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماههای گذشته بات Mirai توجه رسانهها را به خود جلب کردهاست. این بدافزار و باتنت برای تشدید حملات منع سرویس توزیعشده علیه ارائهدهنده سرویس DNS با نام Dyn مورد استفاده قرار گرفت و باعث قطعی اینترنت در بخش وسیعی شد. در پی این حمله بسیاری از سرویسهای معروف اینترنت مانند توییتر، آمازون، نتفلیکس و غیره برای ساعاتی قابل دسترسی نبودند. این باتنت اینترنت اشیا مدتی قبل نیز وبسایت برایان کربس، محقق امنیتی را هدف حمله منع سرویس توزیعشده قرار دادهبود که موجب شد او بررسیهایی را برای شناسایی نویسنده این بدافزار ترتیب دهد.
یک نفوذگر در مهرماه کد منبع این بدافزار را بهطور عمومی منتشر کرد و برایان کربس تصمیم گرفت این کد را در انجمن معروف نفوذگران Hackforum مورد تحلیل و بررسی قرار دهد. یکی از کاربران انجمن Hackforum پیوندی مربوط به کد منبع بدافزار Mirai منتشر کردهبود.
کربس گزارش داد: «انتشار کد منبع بدافزار روز جمعه در انجمن Hackforum اطلاع دادهشد. نام این بدافزار Mirai است و پیوسته در حال پویش دستگاههای آسیبپذیر اینترنت اشیا است. این دستگاهها معمولاً با گواهینامههای پیشفرض کارخانه و یا با نام کاربری و گذرواژههای هاردکدشده محافظت میشوند.»
برایان کربس معتقد است هویت واقعی آنا سنپایی، منتشرکننده پیوند مربوط به Mirai را کشف کردهاست. کربس اعلام کرد نام واقعی او پاراس جیها و صاحب یک شرکت امنیتی با نام ProTraf است. این شرکت در حوزه کاهش تهدیدات منع سرویس توزیعشده فعالیتمیکند.
کربس در وبسایت خود مینویسد: «پس از ماهها جمعآوری اطلاعات درباره نویسنده بدافزار Mirai من از عمار زوبری در مورد پاراس جیها اطلاعاتی بهدست آوردم. به گفته زوبری، جیها مسئولیت باتنت Mirai و حمله منع سرویس توزیعشده علیه دانشگاه راتگرز را پذیرفتهاست. زوبری میگوید وقتی در دانشگاه راتگرز در سال ۲۰۱۵ جیها را ملاقات کرده، جیها در مورد راهاندازی چند حمله منع سرویس توزیعشده به او فخرفروشی کردهاست. زوبری دلیل انجام این حملات توسط جیها را نمیداند ولی فکر میکند او میخواست آزمایش کند با انجام این حملات تا کجا میتواند پیش برود.»
به گزارش کربس، فردی با نام مستعار آنا سنپایی از نام مستعار Ogmemes123123 و آدرس ایمیل ogmemes123123@gmail.com نیز استفاده کردهاست. کربس میگوید این نویسنده از نام مستعار OG_Richard_Stallman نیز استفاده کردهاست که به بنیانگذار برنامههای متنباز اشاره مستقیم دارد. آدرس ایمیل ذکرشده برای ایجاد حسابهای کاربری در فیسبوک با نامهای مستعار مورد استفاده قرار گرفتهاست.
حساب کاربری مربوط به OG_Richard_Stallman نشان میدهد که این فرد از سال ۲۰۱۵ تحصیل در رشته مهندسی کامپیوتر را در دانشگاه راتگرز آغاز کردهاست. این همان دانشگاهی است که پاراس جیها در آن تحصیل میکند. سامانههای دانشگاه راتگرز از سال ۲۰۱۵ مورد حملات منع سرویس توزیعشده قرار میگرفت و این مهاجم به مسئولان دانشگاه پیشنهاد دادهبود تا یک محصول و راهحل برای کاهش تهدیدات منع سرویس توزیعشده خریداری کنند.
کربس همچین اشاره کرد مهارتهایی که جیها در صفحه لینکدین خود ثبت کردهاست همان مهارتهایی است که در انجمن HackForums برای آنا سنپایی ثبت شدهاست.