Hacker betrieb ein massives IoT-Botnet über 8 Jahre, um Anime-Videos herunterzuladen

Forscher der Cyber-Sicherheitsfirma Forcepoint haben entdeckt, dass ein Hacker stillschweigend D-Link NVRs (Netzwerkvideorekorder) und NAS (netzwerkgebundene Speichergeräte) in ein Botnet übernommen hat, um Anime (japanische Animation) Videos herunterzuladen, berichtet ZDNet.

Das Botnet mit dem Namen „Cereals“ wurde erstmals 2012 entdeckt und erreichte seinen Höhepunkt im Jahr 2015, als es mehr als 10.000 Bots sammelte, die mit Online-Websites zum Herunterladen von Anime-Videos verbunden waren. Die Forscher benannten das Botnet „Cereals“ nach der Benennungskonvention seiner Subnetze.

Ein detaillierter Bericht, der die Funktionsweise des Cereals-Botnets erklärt, wurde von Forcepoint veröffentlicht.

Trotz seiner Größe blieb das Botnet von den meisten Cyber-Sicherheitsfirmen über 8 Jahre weitgehend unentdeckt, da es nur eine Schwachstelle in NAS- und NVR-Geräten ausnutzte.

Vorschlag: Beste Websites, um Anime online zu schauen

Laut Forcepoint scannte der Hacker das Internet nach NAS- und NVR-Geräten, die anfällig für diesen Fehler waren, und nutzte die Sicherheitsanfälligkeit aus, um die Cereals-Malware zu installieren.

Der Fehler bestand in der SMS-Benachrichtigungsfunktion der D-Link-Firmware, die die Produktlinie der NAS- und NVR-Geräte des Unternehmens antrieb. Er erlaubte dem Autor von Cereals, eine fehlerhafte HTTP-Anfrage an den integrierten Server eines Geräts zu senden und Befehle mit Root-Rechten auszuführen.

Cereals-Botnets verwendeten bis zu vier Hintertürmechanismen, um auf infizierte Geräte zuzugreifen. Der Hacker patchte jedoch die infizierten Systeme, um zu verhindern, dass andere Angreifer die Systeme übernehmen, und verwaltete auch infizierte Bots über zwölf kleinere Subnetze.

Obwohl das Botnet ziemlich fortschrittlich war, nutzte der Autor von Cereals es nie aus, um auf Bankkonten zuzugreifen, persönliche Informationen zu stehlen, DDoS-Angriffe auszuführen oder auf Benutzerdaten zuzugreifen, die auf den NAS- und NVR-Geräten gespeichert waren.

Dies impliziert, dass der Autor des Botnets keine kriminellen Motive hatte und dass das Botnet tatsächlich ein Hobbyprojekt war, dessen einziges Ziel es war, Anime-Videos von mehreren Websites herunterzuladen.

„Wir hofften auch auf Ausnahmen unter den vielen Anime-bezogenen Anfragen, aber entweder gibt es keine, oder sie wurden nicht durch unsere Honeypots geleitet. Wir mussten zu dem Schluss kommen, dass dies entweder ein einfaches Hobby-VPN-basiertes Web-Crawler-Projekt von jemandem ist oder dass es eine geheime Agenda hinter den Kulissen gibt, für die uns die Beweise fehlen“, schrieb der Forcepoint-Forscher Robert Neumann.

Die Untersuchung von Forcepoint ergab, dass die erste Welle von Ausnutzungsversuchen von einer IP-Adresse in Deutschland protokolliert wurde, was das wahrscheinlichste Herkunftsland ist. Darüber hinaus konnten sie nur einen Namen finden: Stefan.

Die Sicherheitsfirma beschreibt Stefan als „eine hochmotivierte Person mit gutem Verständnis für eingebettete Geräte, Linux-Systeme und Skriptprogrammierung“, die demonstrierte, „wie einfach es ist, eine gut dokumentierte Schwachstelle auszunutzen, während man clever ein Ziel auswählt, das ideal für den Zweck ist und wo bösartiger Code über einen langen Zeitraum unentdeckt bleiben kann.“

Die Details des Cereals-Botnets wurden jetzt offengelegt, da das Anime-Ernte-Botnet im Laufe der Zeit langsam verschwunden ist, hauptsächlich weil die anfälligen D-Link NAS- und NVR-Geräte von ihren Besitzern zurückgezogen werden. Und auch, weil ein Ransomware-Stamm namens Cr1ptT0r die Cereals-Malware im Jahr 2019 von mehreren D-Link-Systemen entfernt hat.

Auch lesen - Beste Anime-Torrent-Websites