Durante
casi ocho años, un hacker secuestró en silencio los NVR D-Link (grabadoras
de video en red) y dispositivos NAS (almacenamiento conectado a la red) en
una botnet.
La mencionada
botnet tenía el único propósito de conectarse a sitios web en línea y descargar videos de anime.
Llamada
Cereals y vista por primera vez en 2012, la botnet alcanzó su punto máximo en
2015 cuando acumuló más de 10,000 bots.
Sin
embargo, a pesar de su tamaño, la
botnet funcionaba sin ser detectada por la mayoría de las empresas de
seguridad cibernética.
Actualmente,
Cereals está desapareciendo lentamente, ya que los dispositivos D-Link
vulnerables en los que se alimentó durante todos estos años han comenzado a desfasarse
y sus propietarios los están retirando del servicio.
Además,
el declive de la botnet también se aceleró cuando una cepa de ransomware
llamada Cr1ptT0r eliminó el malware Cereals de muchos sistemas D-Link
en 2019.
Ahora
que tanto la botnet como los dispositivos vulnerables detrás de ella están
desapareciendo, la empresa de ciberseguridad Forcepoint publicó un informe
sobre las operaciones pasadas de la botnet. Esto sin temor a que su informe
pueda llamar la atención sobre los sistemas D-Link vulnerables y provocar una
nueva serie de ataques de otras botnets.
La botnet explotó solo una vulnerabilidad
Según
los investigadores de Forcepoint, la botnet Cereals fue única en su modus
operandi porque explotó solo una
vulnerabilidad durante toda su vida de ocho años.
La
vulnerabilidad residía en la función de notificación por SMS del firmware
D-Link que alimentaba la línea de dispositivos NAS y NVR de la compañía.
El
error permitió al autor de Cereales enviar una
solicitud HTTP con formato incorrecto al servidor incorporado de un
dispositivo vulnerable y ejecutar comandos con privilegios de root.
Forcepoint
dice que el hacker escaneó en Internet los sistemas D-Link vulnerables a esta
falla. Posteriormente explotó la falla de seguridad para instalar el malware
Cereals en dispositivos NAS y NVR vulnerables.
Pero
a pesar de explotar solo una vulnerabilidad, la botnet estaba bastante
avanzada. Cereals mantuvo hasta cuatro mecanismos de puerta trasera para
acceder a los dispositivos infectados. También intentó parchear los sistemas
para evitar que otros atacantes secuestraran los sistemas, y administró bots
infectados en doce subredes más pequeñas.
¿Un proyecto de pasatiempo?
Sin
embargo, a pesar de esta configuración avanzada, Forcepoint dice que la botnet
probablemente era un proyecto de pasatiempo.
Primero,
la botnet explotó solo una vulnerabilidad durante los ocho años de vida de la
botnet. El operador no se molestó en expandir su operación a otros sistemas más
allá de D-Link NAS y NVR.
En
segundo lugar, la botnet nunca se desvió de su propósito de extracción de videos
de Anime. Forcepoint dijo que la botnet no ejecutó ataques
DDoS, ni encontró evidencia de que la botnet intentó acceder a los
datos del usuario almacenados en los dispositivos NAS y NVR.
Todo
esto sugiere que el autor de la botnet, que se cree que es un hombre alemán
llamado Stefan, nunca tuvo intenciones criminales al construir Cereals. Al parecer
esta botnet tuvo solo propósito: descargar videos de Anime.
¿Qué
opinas de esta historia? Por favor comparte el post en las redes sociales.
Fuente:
ZDnet