해커가 8년 동안 애니메이션 비디오를 다운로드하기 위해 대규모 IoT 봇넷을 운영하다

사이버 보안 회사 Forcepoint의 연구원들은 해커가 D-Link NVR(네트워크 비디오 레코더)과 NAS(네트워크 연결 저장소) 장치를 조용히 해킹하여 애니메이션(일본 애니메이션) 비디오를 다운로드하기 위해 봇넷으로 만들었다고 ZDNet이 보도했습니다.

“Cereals”라는 이름의 봇넷은 2012년에 처음 발견되었으며, 2015년에 애니메이션 비디오를 다운로드하기 위해 온라인 웹사이트에 연결된 10,000개 이상의 봇을 수집하면서 정점에 도달했습니다. 연구원들은 이 봇넷의 서브넷 명명 규칙에 따라 ‘Cereals’라는 이름을 붙였습니다.

Cereals 봇넷의 작동 방식을 설명하는 자세한 보고서가 Forcepoint에 의해 발표되었습니다.

봇넷의 크기에도 불구하고, 대부분의 사이버 보안 회사에서 8년 동안 거의 감지되지 않았습니다. 이는 NAS 및 NVR 장치의 단 하나의 취약점을 악용했기 때문입니다.

추천: 애니메이션을 온라인으로 시청할 수 있는 최고의 웹사이트

Forcepoint에 따르면, 해커는 이 버그에 취약한 NAS 및 NVR 장치를 찾기 위해 인터넷을 스캔하고 보안 결함을 악용하여 Cereals 악성 코드를 설치했습니다.

이 버그는 D-Link의 NAS 및 NVR 장치를 구동하는 펌웨어의 SMS 알림 기능에 존재했습니다. 이는 Cereals 작성자가 장치의 내장 서버에 잘못된 HTTP 요청을 보내고 루트 권한으로 명령을 실행할 수 있게 했습니다.

Cereals 봇넷은 감염된 장치에 접근하기 위해 최대 4개의 백도어 메커니즘을 사용했습니다. 그러나 해커는 감염된 시스템을 패치하여 다른 공격자가 시스템을 장악하지 못하도록 했으며, 12개의 작은 서브넷에서 감염된 봇을 관리했습니다.

봇넷이 상당히 발전했음에도 불구하고, Cereals 작성자는 이를 은행 계좌에 접근하거나 개인 정보를 훔치거나 DDoS 공격을 실행하거나 NAS 및 NVR 장치에 저장된 사용자 데이터에 접근하는 데 악용하지 않았습니다.

이는 봇넷의 작성자가 범죄적 동기가 없었으며, 봇넷이 실제로 여러 웹사이트에서 애니메이션 비디오를 다운로드하는 것만을 목적으로 하는 취미 프로젝트였음을 시사합니다.

“우리는 애니메이션 관련 요청들 속에서 예외를 기대했지만, 없거나 우리의 허니팟을 통해 라우팅되지 않았습니다. 우리는 이것이 누군가의 단순한 취미 VPN 기반 웹 크롤러 프로젝트이거나, 우리가 증거가 부족한 숨겨진 의도가 있다는 결론을 내릴 수밖에 없었습니다.”라고 Forcepoint 연구원 로버트 노이만이 썼습니다.

Forcepoint의 조사에 따르면, 첫 번째 공격 시도가 독일의 IP 주소에서 기록되었으며, 이는 가장 가능성이 높은 출처 국가입니다. 이 외에도 그들이 찾을 수 있었던 것은 이름 하나: 스테판(Stefan)입니다.

보안 회사는 스테판을 “임베디드 장치, 리눅스 시스템 및 스크립트 프로그래밍에 대한 이해가 뛰어난 매우 동기 부여된 개인”으로 묘사하며, “잘 문서화된 취약점을 악용하는 것이 얼마나 간단한지, 목적에 이상적이고 악성 코드가 오랜 기간 동안 감지되지 않고 존재할 수 있는 대상을 영리하게 선택하는 방법”을 보여주었습니다.

Cereals 봇넷의 세부 사항이 이제 공개된 이유는 애니메이션 수확 봇넷이 시간이 지남에 따라 서서히 사라졌기 때문이며, 주로 취약한 D-Link NAS 및 NVR 장치가 소유자에 의해 철수되고 있기 때문입니다. 또한, 2019년 동안 Cr1ptT0r라는 랜섬웨어 변종이 여러 D-Link 시스템에서 Cereals 악성 코드를 제거했기 때문입니다.

또한 읽기 - 최고의 애니메이션 토렌트 웹사이트