Un hacker ha gestito un'enorme botnet IoT per 8 anni per scaricare video di anime

I ricercatori della società di cyber-sicurezza Forcepoint hanno scoperto che un hacker ha silenziosamente dirottato NVR D-Link (registratori video di rete) e dispositivi NAS (memoria collegata in rete) in una botnet per scaricare video di anime (animazione giapponese), riporta ZDNet.

La botnet chiamata “Cereals” è stata avvistata per la prima volta nel 2012 e ha raggiunto il suo picco nel 2015 quando ha raccolto più di 10.000 bot collegati a siti web per il download di video di anime. I ricercatori hanno chiamato la botnet ‘Cereals’ in base alla convenzione di denominazione delle sue sottoreti.

Un rapporto dettagliato che spiega il funzionamento della botnet Cereals è stato pubblicato da Forcepoint.

Nonostante le sue dimensioni, la botnet è rimasta per lo più non rilevata per 8 anni dalla maggior parte delle aziende di cyber-sicurezza perché ha sfruttato solo una vulnerabilità nei dispositivi NAS e NVR.

Suggerito: I migliori siti web per guardare anime online

Secondo Forcepoint, l’hacker ha scansionato internet alla ricerca di dispositivi NAS e NVR vulnerabili a questo bug e ha sfruttato la falla di sicurezza per installare il malware Cereals.

Il bug esisteva nella funzione di notifica SMS del firmware D-Link che alimentava la linea di dispositivi NAS e NVR dell’azienda. Ha permesso all’autore di Cereals di inviare una richiesta HTTP malformata al server integrato di un dispositivo ed eseguire comandi con privilegi di root.

Le botnet Cereals utilizzavano fino a quattro meccanismi di backdoor per accedere ai dispositivi infetti. Tuttavia, l’hacker ha patchato i sistemi infetti per prevenire che altri attaccanti prendessero il controllo dei sistemi e ha anche gestito bot infetti attraverso dodici sottoreti più piccole.

Nonostante la botnet fosse piuttosto avanzata, l’autore di Cereals non l’ha mai sfruttata per accedere a conti bancari o rubare informazioni personali o eseguire attacchi DDoS o accedere ai dati degli utenti memorizzati sui dispositivi NAS e NVR.

Questo implica che l’autore della botnet non avesse motivi criminali e che la botnet fosse in realtà un progetto hobbistico con l’unico scopo di scaricare video di anime da diversi siti web.

“Ci aspettavamo anche eccezioni tra le montagne di richieste relative agli anime, ma o non ce ne sono, o non sono state instradate attraverso i nostri honeypots. Abbiamo dovuto concludere che questo è o un progetto di Web-Crawler basato su Hobby-VPN molto semplice di qualcuno o c’è un’agenda nascosta dietro le quinte di cui ci manca la prova,” ha scritto il ricercatore di Forcepoint Robert Neumann.

L’indagine di Forcepoint ha scoperto che la prima ondata di tentativi di sfruttamento è stata registrata da un indirizzo IP in Germania, che è il paese di origine più probabile. Oltre a questo, tutto ciò che sono riusciti a trovare è stato un nome: Stefan.

La società di sicurezza descrive Stefan come “un individuo altamente motivato con una buona comprensione dei dispositivi embedded, dei sistemi Linux e della programmazione di script” che ha dimostrato “quanto sia semplice sfruttare una vulnerabilità ben documentata mentre si sceglie astutamente un obiettivo ideale per lo scopo e dove il codice malevolo può risiedere non rilevato per un lungo periodo di tempo.”

I dettagli della botnet Cereals sono stati rivelati ora perché la botnet di raccolta di anime è lentamente scomparsa nel tempo, principalmente perché i dispositivi D-Link NAS e NVR vulnerabili vengono ritirati dai loro proprietari. E, anche perché un ceppo di ransomware chiamato Cr1ptT0r ha rimosso il malware Cereals da diversi sistemi D-Link durante il 2019.

Leggi anche - I migliori siti torrent di anime