Estamos conscientes de que la piratería es algo que siempre estará presente entre nosotros, así como grabar películas desde un cine o descargar online series, peliculas o «animes«, hoy hablaremos de un caso que tiene que ver con lo último antes dicho ya que por 8 años una persona ha secuestrado en silencio los NVR D-Link (grabadoras de video en red) y dispositivos NAS (unidades de almacenamiento conectado a la red) en una botnet que tenía el único propósito de conectarse a sitios web en línea y descargar videos de anime.
Nombrados «Cereals» y vistos por primera vez en 2012, la botnet alcanzó su punto máximo en 2015 cuando acumuló más de 10,000 bots.
Sin embargo, a pesar de su tamaño, la botnet funcionaba sin ser detectada por la mayoría de las empresas de seguridad cibernética. Actualmente, los cereals están desapareciendo lentamente, ya que los dispositivos D-Link vulnerables en los que se alimentó durante todos estos años se están quedando obsoletos y sus dueños los están reemplazando por otros más modernos y seguros. Además, el declive de la botnet también se aceleró cuando una cepa de ransomware llamada Cr1ptT0r eliminó el malware Cereals de muchos sistemas D-Link en el invierno de 2019.
Ahora tanto la botnet como los dispositivos vulnerables detrás de ella están desapareciendo, la empresa de ciberseguridad Forcepoint publicó un informe sobre las operaciones pasadas de la botnet, sin temor a que su informe pueda llamar la atención sobre los sistemas vulnerables D-Link y provocar una nueva serie de ataques. de otras botnets.
Según los investigadores de Forcepoint, la botnet Cereals fue única en su modus operandi porque explotó solo una vulnerabilidad durante toda su vida de ocho años. La vulnerabilidad residía en la función de notificación por SMS del firmware D-Link que alimentaba la línea de dispositivos NAS y NVR de la compañía.
El error permitió al autor de «Cereals» enviar una solicitud HTTP con formato incorrecto al servidor incorporado de un dispositivo vulnerable y ejecutar comandos con privilegios de root.
Forcepoint dice que el hacker escaneó en internet los sistemas D-Link vulnerables a este error, y explotó la falla de seguridad para instalar el malware Cereals en dispositivos NAS y NVR vulnerables.
¿Esto era un pasatiempo?
Sin embargo, a pesar de esta configuración avanzada, Forcepoint dice que la botnet probablemente era un simple pasatiempo.
Primero, la botnet explotó solo una vulnerabilidad durante los ocho años de vida de la botnet, sin molestarse en expandir su operación a otros sistemas más allá de D-Link, NAS y NVR.
En segundo lugar, la botnet nunca se desvió de su propósito de sanguijuela de video de Anime. Forcepoint dijo que la botnet no ejecutó ataques DDoS, ni encontró evidencia de que la botnet intentó acceder a los datos del usuario almacenados en los dispositivos NAS y NVR.
Todo esto sugiere que el autor de la botnet, que se cree que es un hombre alemán llamado Stefan, nunca tuvo intenciones criminales en la construcción de Cereals, una botnet que parece haber tenido un solo propósito: descargar videos de Anime.