jueves, 7 de mayo de 2020

Hacker operó durante años botnet de IoT sólo para descargar Anime

Durante casi ocho años, un hacker ha secuestrado en silencio los NVR D-Link (grabadoras de video en red) y dispositivos NAS (almacenamiento conectado a la red) en una botnet.


  

La mencionada botnet tenía el único propósito de conectarse a sitios web en línea y descargar videos de anime.


Llamada Cereals y vista por primera vez en 2012, la botnet alcanzó su punto máximo en 2015 cuando acumuló más de 10,000 bots.


Sin embargo, a pesar de su tamaño, la botnet funcionaba sin ser detectada por la mayoría de las empresas de seguridad cibernética. 

Actualmente, Cereals está desapareciendo lentamente, ya que los dispositivos D-Link vulnerables en los que se alimentó durante todos estos años han comenzado a desfasarse y sus propietarios los están retirando del servicio. 
botnet cereals
Además, el declive de la botnet también se aceleró cuando una cepa de ransomware llamada Cr1ptT0r eliminó el malware Cereals de muchos sistemas D-Link en 2019.

Ahora que tanto la botnet como los dispositivos vulnerables detrás de ella están desapareciendo, la empresa de ciberseguridad Forcepoint publicó un informe sobre las operaciones pasadas de la botnet. Esto sin temor a que su informe pueda llamar la atención sobre los sistemas D-Link vulnerables y provocar una nueva serie de ataques de otras botnets.

La botnet explotó solo una vulnerabilidad

Según los investigadores de Forcepoint, la botnet Cereals fue única en su modus operandi porque explotó solo una vulnerabilidad durante toda su vida de ocho años.

La vulnerabilidad residía en la función de notificación por SMS del firmware D-Link que alimentaba la línea de dispositivos NAS y NVR de la compañía.

El error permitió al autor de Cereales enviar una solicitud HTTP con formato incorrecto al servidor incorporado de un dispositivo vulnerable y ejecutar comandos con privilegios de root.

Forcepoint dice que el hacker escaneó en Internet los sistemas D-Link vulnerables a esta falla. Posteriormente explotó la falla de seguridad para instalar el malware Cereals en dispositivos NAS y NVR vulnerables.

Pero a pesar de explotar solo una vulnerabilidad, la botnet estaba bastante avanzada. Cereals mantuvo hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados. También intentó parchear los sistemas para evitar que otros atacantes secuestraran los sistemas, y administró bots infectados en doce subredes más pequeñas.


¿Un proyecto de pasatiempo?

Sin embargo, a pesar de esta configuración avanzada, Forcepoint dice que la botnet probablemente era un proyecto de pasatiempo.

Primero, la botnet explotó solo una vulnerabilidad durante los ocho años de vida de la botnet. El operador no se molestó en expandir su operación a otros sistemas más allá de D-Link NAS y NVR.

En segundo lugar, la botnet nunca se desvió de su propósito de extracción de videos de Anime. Forcepoint dijo que la botnet no ejecutó ataques DDoS, ni encontró evidencia de que la botnet intentó acceder a los datos del usuario almacenados en los dispositivos NAS y NVR.

Todo esto sugiere que el autor de la botnet, que se cree que es un hombre alemán llamado Stefan, nunca tuvo intenciones criminales al construir Cereals. Al parecer esta botnet tuvo solo propósito: descargar videos de Anime.

¿Qué opinas de esta historia? Por favor comparte el post en las redes sociales.


Fuente: ZDnet

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.