Хакер управлял массивным IoT ботнетом в течение 8 лет для загрузки аниме-видео

Исследователи кибербезопасности из компании Forcepoint обнаружили, что хакер тихо захватил NVR (сетевые видеорекордеры) D-Link и устройства NAS (сетевое хранилище) в ботнет с целью загрузки аниме (японской анимации) видео, сообщает ZDNet.

Ботнет под названием «Cereals» был впервые обнаружен в 2012 году и достиг своего пика в 2015 году, когда он собрал более 10,000 ботов, подключенных к онлайн-сайтам для загрузки аниме-видео. Исследователи назвали ботнет «Cereals» в честь схемы именования его подсетей.

Подробный отчет, объясняющий работу ботнета Cereals, был опубликован Forcepoint.

Несмотря на свои размеры, ботнет в основном оставался незамеченным в течение 8 лет большинством компаний по кибербезопасности, потому что он использовал всего одну уязвимость в устройствах NAS и NVR.

Рекомендуем: Лучшие сайты для просмотра аниме онлайн

Согласно Forcepoint, хакер сканировал интернет в поисках уязвимых устройств NAS и NVR и использовал уязвимость безопасности для установки вредоносного ПО Cereals.

Уязвимость существовала в функции SMS-уведомлений прошивки D-Link, которая управляла линейкой NAS и NVR устройств компании. Она позволила автору Cereals отправить неправильно сформированный HTTP-запрос на встроенный сервер устройства и выполнять команды с правами root.

Ботнеты Cereals использовали до четырех механизмов обратного доступа для доступа к зараженным устройствам. Однако хакер исправил зараженные системы, чтобы предотвратить захват систем другими злоумышленниками, а также управлял зараженными ботами через двенадцать меньших подсетей.

Несмотря на то, что ботнет был довольно продвинутым, автор Cereals никогда не использовал его для доступа к банковским счетам или кражи личной информации, или для выполнения DDoS-атак, или для доступа к данным пользователей, хранящимся на устройствах NAS и NVR.

Это подразумевает, что у автора ботнета не было преступных мотивов и что ботнет на самом деле был хобби-проектом с единственной целью загрузки аниме-видео с нескольких сайтов.

«Мы также надеялись на исключения среди множества запросов, связанных с аниме, но либо их нет, либо они не были направлены через наши ловушки. Мы были вынуждены заключить, что это либо простой проект Хобби-VPN-основанного веб-краулера кого-то, либо за кулисами есть скрытая повестка, для которой у нас нет доказательств», - написал исследователь Forcepoint Роберт Нойман.

Расследование Forcepoint показало, что первая волна попыток эксплуатации была зафиксирована с IP-адреса в Германии, что является наиболее вероятной страной происхождения. Кроме этого, все, что они смогли найти, это имя: Стефан.

Кибербезопасная компания описывает Стефана как «высоко мотивированного человека с хорошим пониманием встроенных устройств, систем Linux и программирования на скриптах», который продемонстрировал, «насколько просто эксплуатировать хорошо документированную уязвимость, умело выбирая цель, которая идеальна для этой цели и где вредоносный код может оставаться незамеченным в течение длительного времени».

Детали ботнета Cereals были раскрыты сейчас, потому что ботнет, собирающий аниме, медленно исчезал со временем, в основном потому, что уязвимые устройства D-Link NAS и NVR выводились из эксплуатации их владельцами. А также потому, что штамм программ-вымогателей под названием Cr1ptT0r удалил вредоносное ПО Cereals с нескольких систем D-Link в 2019 году.

Также читайте - Лучшие сайты для торрентов аниме