Durante 8 años, un hacker operó una enorme red de bots de IoT solo para descargar videos de Anime


anime.jpg

Imagen: captura de pantalla de la serie de anime Golden Kamuy de Geno Studio.

Durante casi ocho años, un pirata informático ha secuestrado silenciosamente dispositivos NVR D-Backlink (grabadoras de online video en pink) y dispositivos NAS (almacenamiento conectado a la purple) en una botnet que tenía el único propósito de conectarse a sitios world-wide-web en línea y descargar movies de anime.

Nombrados cereales y vistos por primera vez en 2012, la botnet alcanzó su punto máximo en 2015 cuando acumuló más de 10,000 bots.

Sin embargo, a pesar de su tamaño, la botnet funcionaba sin ser detectada por la mayoría de las empresas de seguridad cibernética. Actualmente, los cereales están desapareciendo lentamente, ya que los dispositivos D-Link vulnerables en los que se alimentó todos estos años han comenzado a envejecer y sus propietarios los están retirando del servicio. Además, el declive de la botnet también se aceleró cuando una cepa de ransomware llamada Cr1ptT0r borró el malware Cereals de muchos sistemas D-Url en el invierno de 2019.

Ahora que tanto la botnet como los dispositivos vulnerables detrás de ella están desapareciendo, la empresa de ciberseguridad Forcepoint publicó un informar sobre las operaciones pasadas de la botnet, sin temor a que su informe pueda llamar la atención sobre los sistemas D-Link vulnerables y provocar una nueva serie de ataques de otras botnets.

Botnet explotó solo una vulnerabilidad

Según los investigadores de Forcepoint, la botnet Cereals fue única en su modus operandi porque explotó solo una vulnerabilidad durante toda su vida de ocho años.

La vulnerabilidad residía en la función de notificación por SMS del firmware D-Backlink que alimentaba la línea de dispositivos NAS y NVR de la compañía.

El error permitió al autor de Cereales enviar una solicitud HTTP con formato incorrecto al servidor integrado de un dispositivo vulnerable y ejecutar comandos con privilegios de root.

Forcepoint dice que el hacker escaneó en Online los sistemas D-Connection vulnerables a este mistake, y explotó la falla de seguridad para instalar el malware Cereals en dispositivos NAS y NVR vulnerables.

cereals.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/07/f6488f6b-63f6-4e44-af92-5ce011b21fdb/cereals.png

Imagen: Forcepoint

Pero a pesar de explotar solo una vulnerabilidad, la botnet estaba bastante avanzada. Los cereales mantuvieron hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados, intentó parchear los sistemas para evitar que otros atacantes secuestraran los sistemas, y administró bots infectados en doce subredes más pequeñas.

¿Un proyecto de pasatiempo?

Sin embargo, a pesar de esta configuración avanzada, Forcepoint dice que la botnet probablemente fue un proyecto de pasatiempo.

Primero, la botnet explotó solo una vulnerabilidad durante los ocho años de vida de la botnet, sin molestarse en expandir su operación a otros sistemas más allá de D-Connection NAS y NVR.

En segundo lugar, la botnet nunca se desvió de su propósito de sanguijuela de online video de Anime. Forcepoint dijo que la botnet no ejecutó ataques DDoS, ni encontró evidencia de que la botnet intentó acceder a los datos del usuario almacenados en los dispositivos NAS y NVR.

Todo esto sugiere que el autor de la botnet, que se cree que es un hombre alemán llamado Stefan, nunca tuvo intenciones criminales al construir Cereals, una botnet que parece haber tenido un solo propósito: descargar movies de Anime.



Enlace a la noticia first