ハッカーが8年間にわたりアニメ動画をダウンロードするために大規模なIoTボットネットを操作していた

サイバーセキュリティ企業Forcepointの研究者たちは、ハッカーがD-LinkのNVR（ネットワークビデオレコーダー）とNAS（ネットワーク接続ストレージ）デバイスを静かにハイジャックし、アニメ（日本のアニメ）動画をダウンロードするためのボットネットにしたことを発見したとZDNetが報じています。

「Cereals」と名付けられたこのボットネットは2012年に初めて発見され、2015年にはアニメ動画をダウンロードするためにオンラインウェブサイトに接続された10,000以上のボットを集めたピークに達しました。研究者たちは、そのサブネットの命名規則に基づいてボットネットを「Cereals」と名付けました。

Cerealsボットネットの動作を説明する詳細な報告書がForcepointによって公開されました。

その規模にもかかわらず、このボットネットは8年間にわたりほとんどのサイバーセキュリティ企業に検出されることはありませんでした。なぜなら、NASおよびNVRデバイスの1つの脆弱性のみを悪用していたからです。

おすすめ: アニメをオンラインで視聴するためのベストウェブサイト

Forcepointによると、ハッカーはこのバグに脆弱なNASおよびNVRデバイスをインターネット上でスキャンし、Cerealsマルウェアをインストールするためにセキュリティの欠陥を悪用しました。

このバグは、D-LinkのNASおよびNVRデバイスのファームウェアを駆動するSMS通知機能に存在していました。これにより、Cerealsの作者はデバイスの内蔵サーバーに対して不正なHTTPリクエストを送信し、ルート権限でコマンドを実行することができました。

Cerealsボットネットは、感染したデバイスにアクセスするために最大4つのバックドアメカニズムを使用しました。しかし、ハッカーは感染したシステムをパッチして他の攻撃者がシステムを乗っ取るのを防ぎ、12の小さなサブネット全体で感染したボットを管理しました。

ボットネットはかなり高度でしたが、Cerealsの作者はそれを銀行口座にアクセスしたり、個人情報を盗んだり、DDoS攻撃を実行したり、NASおよびNVRデバイスに保存されたユーザーデータにアクセスするために悪用することはありませんでした。

これは、ボットネットの作者に犯罪的な動機がなく、ボットネットが実際にはいくつかのウェブサイトからアニメ動画をダウンロードするためだけの趣味のプロジェクトであったことを示唆しています。

「私たちはアニメ関連のリクエストの山の中で例外を期待していましたが、存在しないか、私たちのハニーポットを通過しなかったのです。これは、誰かの単純な趣味のVPNベースのウェブクローラープロジェクトであるか、私たちが証拠を欠く裏に隠れた目的があると結論せざるを得ませんでした」とForcepointの研究者ロバート・ノイマンは書いています。

Forcepointの調査によると、最初の悪用試行の波はドイツのIPアドレスから記録されており、最も可能性の高い出所国です。これに加えて、彼らが見つけたのは名前だけでした: ステファン。

このセキュリティ企業は、ステファンを「埋め込みデバイス、Linuxシステム、スクリプトプログラミングに対する良い理解を持つ非常にやる気のある個人」と説明し、「目的に理想的で、悪意のあるコードが長期間検出されずに存在できるターゲットを巧みに選ぶことで、文書化された脆弱性を簡単に悪用する方法を示しました。」

Cerealsボットネットの詳細が明らかになったのは、アニメ収集ボットネットが時間とともに徐々に消えていったためであり、主に脆弱なD-LinkのNASおよびNVRデバイスがその所有者によって撤去されているからです。また、2019年にCr1ptT0rというランサムウェアの亜種がいくつかのD-LinkシステムからCerealsマルウェアを削除したためでもあります。

さらに読む - ベストアニメトレントウェブサイト