Un hacker a opéré un massive botnet IoT pendant 8 ans pour télécharger des vidéos d'anime

Les chercheurs de la société de cybersécurité Forcepoint ont découvert qu’un hacker avait silencieusement détourné des NVR D-Link (enregistreurs vidéo en réseau) et des dispositifs NAS (stockage en réseau) pour en faire un botnet afin de télécharger des vidéos d’anime (animation japonaise), rapporte ZDNet.

Le botnet nommé « Cereals » a été repéré pour la première fois en 2012 et a atteint son apogée en 2015 lorsqu’il a collecté plus de 10 000 bots connectés à des sites web pour télécharger des vidéos d’anime. Les chercheurs ont nommé le botnet « Cereals » d’après la convention de nommage de ses sous-réseaux.

Un rapport détaillé expliquant le fonctionnement du botnet Cereals a été publié par Forcepoint.

Malgré sa taille, le botnet est resté principalement indétecté pendant 8 ans par la plupart des entreprises de cybersécurité car il exploitait une seule vulnérabilité dans les dispositifs NAS et NVR.

Suggéré : Meilleurs sites Web pour regarder des anime en ligne

Selon Forcepoint, le hacker a scanné Internet à la recherche de dispositifs NAS et NVR vulnérables à ce bug et a exploité la faille de sécurité pour installer le malware Cereals.

Le bug existait dans la fonctionnalité de notification SMS du firmware D-Link qui alimentait la gamme de dispositifs NAS et NVR de l’entreprise. Il permettait à l’auteur de Cereals d’envoyer une requête HTTP malformée au serveur intégré d’un dispositif et d’exécuter des commandes avec des privilèges root.

Les botnets Cereals utilisaient jusqu’à quatre mécanismes de porte dérobée pour accéder aux dispositifs infectés. Cependant, le hacker a corrigé les systèmes infectés pour empêcher d’autres attaquants de prendre le contrôle des systèmes, et a également géré des bots infectés à travers douze sous-réseaux plus petits.

Bien que le botnet soit assez avancé, l’auteur de Cereals ne l’a jamais exploité pour accéder à des comptes bancaires ou voler des informations personnelles, ou exécuter des attaques DDoS ou accéder aux données des utilisateurs stockées sur les dispositifs NAS et NVR.

Cela implique que l’auteur du botnet n’avait pas de motifs criminels et que le botnet était en réalité un projet de loisir ayant pour seul but de télécharger des vidéos d’anime depuis plusieurs sites web.

« Nous espérions également des exceptions parmi les tas de requêtes liées à l’anime, mais soit il n’y en a pas, soit cela n’a pas été routé à travers nos pots de miel. Nous avons dû conclure que c’est soit un projet de crawler web basé sur un VPN de loisir simpliste de quelqu’un, soit qu’il y a un agenda caché derrière les coulisses dont nous manquons de preuves », a écrit le chercheur de Forcepoint, Robert Neumann.

L’enquête de Forcepoint a révélé que la première vague de tentatives d’exploitation a été enregistrée à partir d’une adresse IP en Allemagne, qui est le pays d’origine le plus probable. En dehors de cela, tout ce qu’ils ont pu trouver était un nom : Stefan.

La société de sécurité décrit Stefan comme « un individu très motivé avec une bonne compréhension des dispositifs embarqués, des systèmes Linux et de la programmation de scripts » qui a montré « à quel point il est simple d’exploiter une vulnérabilité bien documentée tout en choisissant intelligemment une cible qui est idéale pour le but et où le code malveillant peut résider indétecté pendant une longue période. »

Les détails du botnet Cereals ont été révélés maintenant car le botnet de collecte d’anime a lentement disparu au fil du temps, principalement parce que les dispositifs NAS et NVR D-Link vulnérables sont retirés par leurs propriétaires. Et, aussi parce qu’une souche de ransomware nommée Cr1ptT0r a supprimé le malware Cereals de plusieurs systèmes D-Link en 2019.

Lire aussi - Meilleurs sites de torrents d’anime