Hacker Operou Um Imenso Botnet IoT Por 8 Anos Para Baixar Vídeos de Anime

Pesquisadores da empresa de cibersegurança Forcepoint descobriram que um hacker sequestrou silenciosamente NVRs D-Link (gravadores de vídeo em rede) e dispositivos NAS (armazenamento conectado à rede) em um botnet para baixar vídeos de anime (animação japonesa), relata a ZDNet.

O botnet chamado “Cereals” foi avistado pela primeira vez em 2012 e atingiu seu pico em 2015, quando coletou mais de 10.000 bots conectados a sites online para download de vídeos de anime. Os pesquisadores nomearam o botnet ‘Cereals’ após a convenção de nomenclatura de suas sub-redes.

Um relatório detalhado explicando o funcionamento do botnet Cereals foi publicado pela Forcepoint.

Apesar de seu tamanho, o botnet passou em grande parte despercebido por 8 anos pela maioria das empresas de cibersegurança porque explorou apenas uma vulnerabilidade em dispositivos NAS e NVR.

Sugerido: Melhores Sites Para Assistir Anime Online

De acordo com a Forcepoint, o hacker escaneou a internet em busca de dispositivos NAS e NVR que eram vulneráveis a esse bug e explorou a falha de segurança para instalar o malware Cereals.

O bug existia no recurso de notificação SMS do firmware D-Link que alimentava a linha de dispositivos NAS e NVR da empresa. Ele permitiu que o autor do Cereals enviasse uma solicitação HTTP malformada para o servidor embutido de um dispositivo e executasse comandos com privilégios de root.

Os botnets Cereals usaram até quatro mecanismos de backdoor para acessar dispositivos infectados. No entanto, o hacker corrigiu os sistemas infectados para impedir que outros atacantes assumissem os sistemas e também gerenciou bots infectados em doze sub-redes menores.

Apesar de o botnet ser bastante avançado, o autor do Cereals nunca o explorou para acessar contas bancárias ou roubar informações pessoais ou executar ataques DDoS ou acessar dados de usuários armazenados nos dispositivos NAS e NVR.

Isso implica que o autor do botnet não tinha motivos criminosos e que o botnet era na verdade um projeto de hobby com o único propósito de baixar vídeos de anime de vários sites.

“Também estávamos esperando por exceções entre as pilhas de solicitações relacionadas a Anime, mas ou não há nenhuma, ou não foi roteada através de nossos honeypots. Tivemos que concluir que isso é um projeto simplista de Hobby-VPN-Based-Web-Crawler de alguém ou que há uma agenda oculta por trás das cenas da qual não temos evidências,” escreveu o pesquisador da Forcepoint, Robert Neumann.

A investigação da Forcepoint descobriu que a primeira onda de tentativas de exploração foi registrada a partir de um endereço IP na Alemanha, que é o país de origem mais provável. Além disso, tudo o que conseguiram encontrar foi um nome: Stefan.

A empresa de segurança descreve Stefan como “um indivíduo altamente motivado com boa compreensão de dispositivos embarcados, sistemas Linux e programação de scripts” que demonstrou “como é simples explorar uma vulnerabilidade bem documentada enquanto escolhe inteligentemente um alvo que é ideal para o propósito e onde o código malicioso pode residir indetectado por um longo período de tempo.”

Os detalhes do botnet Cereals foram revelados agora porque o botnet de coleta de anime desapareceu lentamente ao longo do tempo, principalmente porque os dispositivos D-Link NAS e NVR vulneráveis estão sendo retirados por seus proprietários. E, também porque uma variante de ransomware chamada Cr1ptT0r removeu o malware Cereals de vários sistemas D-Link durante 2019.

Também Leia - Melhores Sites de Torrent de Anime