Un hacker operó una masiva botnet IoT durante 8 años para descargar videos de anime

Los investigadores de la firma de ciberseguridad Forcepoint han descubierto que un hacker secuestró silenciosamente NVRs de D-Link (grabadores de video en red) y dispositivos NAS (almacenamiento conectado a la red) en una botnet para descargar videos de anime (animación japonesa), informa ZDNet.

La botnet llamada “Cereals” fue detectada por primera vez en 2012 y alcanzó su punto máximo en 2015 cuando recolectó más de 10,000 bots conectados a sitios web para descargar videos de anime. Los investigadores nombraron a la botnet ‘Cereals’ siguiendo la convención de nombres de sus subredes.

Un informe detallado que explica el funcionamiento de la botnet Cereals ha sido publicado por Forcepoint.

A pesar de su tamaño, la botnet pasó mayormente desapercibida durante 8 años para la mayoría de las firmas de ciberseguridad porque explotó solo una vulnerabilidad en los dispositivos NAS y NVR.

Sugerido: Mejores sitios web para ver anime en línea

Según Forcepoint, el hacker escaneó internet en busca de dispositivos NAS y NVR que fueran vulnerables a este error y explotó la falla de seguridad para instalar el malware Cereals.

El error existía en la función de notificación SMS del firmware de D-Link que alimentaba la línea de dispositivos NAS y NVR de la compañía. Permitió al autor de Cereals enviar una solicitud HTTP malformada al servidor integrado de un dispositivo y ejecutar comandos con privilegios de root.

Las botnets Cereals utilizaron hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados. Sin embargo, el hacker parcheó los sistemas infectados para evitar que otros atacantes tomaran el control de los sistemas, y también gestionó bots infectados a través de doce subredes más pequeñas.

A pesar de que la botnet era bastante avanzada, el autor de Cereals nunca la explotó para acceder a cuentas bancarias o robar información personal o ejecutar ataques DDoS o acceder a datos de usuario almacenados en los dispositivos NAS y NVR.

Esto implica que el autor de la botnet no tenía motivos criminales y que la botnet era en realidad un proyecto de hobby con el único propósito de descargar videos de anime de varios sitios web.

“También esperábamos excepciones entre las montañas de solicitudes relacionadas con el anime, pero o no hay ninguna, o no se enrutarón a través de nuestros honeypots. Tuvimos que concluir que esto es un proyecto de rastreador web basado en VPN de hobby simplista de alguien o que hay una agenda oculta detrás de escena de la que carecemos de evidencia”, escribió el investigador de Forcepoint, Robert Neumann.

La investigación de Forcepoint encontró que la primera ola de intentos de explotación se registró desde una dirección IP en Alemania, que es el país de origen más probable. Además de esto, todo lo que pudieron encontrar fue un nombre: Stefan.

La firma de seguridad describe a Stefan como “un individuo altamente motivado con buen entendimiento de dispositivos embebidos, sistemas Linux y programación de scripts” que exhibió “lo simple que es explotar una vulnerabilidad bien documentada mientras elige inteligentemente un objetivo que es ideal para el propósito y donde el código malicioso puede residir indetectado durante un largo período de tiempo.”

Los detalles de la botnet Cereals se han revelado ahora porque la botnet de recolección de anime ha desaparecido lentamente con el tiempo, principalmente porque los dispositivos NAS y NVR vulnerables de D-Link están siendo retirados por sus propietarios. Y, también porque una cepa de ransomware llamada Cr1ptT0r eliminó el malware Cereals de varios sistemas D-Link durante 2019.

También lee - Mejores sitios web de torrents de anime