Για περίπου οκτώ χρόνια, ένας hacker είχε παραβιάσει συσκευές D-Link NVR (network video recorders) και NAS (network-attached storage) και τις είχε κάνει μέρος ενός botnet που είχε ως μοναδικό σκοπό τη σύνδεση σε websites και τη λήψη anime videos.
Το botnet ονομάστηκε Cereals και πρωτοεμφανίστηκε το 2012. Έφτασε στο αποκορύφωμά του το 2015, όταν συγκέντρωσε περισσότερα από 10.000 bots.
Ωστόσο, παρά το μέγεθός του, το bοtnet έμεινε απαρατήρητο από τις περισσότερες εταιρείες ασφάλειας στον κυβερνοχώρο. Τώρα, το Cereals εξαφανίζονται σιγά σιγά καθώς οι ευάλωτες συσκευές D-Link, στις οποίες βασιζόταν όλα αυτά τα χρόνια, άρχισαν να «γερνούν» και να τίθενται εκτός λειτουργίας. Επιπλέον, η πτώση του Cereals botnet οφείλεται και στην εμφάνιση ενός ransomware με το όνομα Cr1ptT0r, που διέγραψε το Cereals malware από πολλά συστήματα D-Link τον χειμώνα του 2019.
Τώρα, που τόσο το botnet όσο και οι ευάλωτες συσκευές εξαφανίζονται, η εταιρεία ασφαλείας Forcepoint δημοσίευσε μια έκθεση για τις προηγούμενες λειτουργίες του botnet.
Το botnet εκμεταλλεύτηκε μια μόνο ευπάθεια
Αυτά τα οκτώ χρόνια, το Cereals botnet εκμεταλλεύτηκε μόνο μια ευπάθεια.
Η ευπάθεια υπήρχε στην ειδοποίηση SMS του D-Link firmware, που τροφοδοτούσε τη σειρά συσκευών NAS και NVR της εταιρείας.
Το σφάλμα επέτρεψε στον δημιουργό του Cereals να στείλει ένα HTTP request σε έναν ενσωματωμένο server μιας ευάλωτης συσκευής και να εκτελέσει εντολές με root privileges.
Η Forcepoint λέει ότι ο hacker είχε σαρώσει το Διαδίκτυο για ευάλωτα συστήματα D-Link, και εκμεταλλεύτηκε το σφάλμα για να εγκαταστήσει το κακόβουλο λογισμικό Cereals στις ευάλωτες NAS και NVR συσκευές.
Ωστόσο, παρά την εκμετάλλευση μιας και μόνο ευπάθειας, το bοtnet ήταν αρκετά προηγμένο. Το Cereals είχε τέσσερις backdoor μηχανισμούς για την απόκτηση πρόσβασης σε μολυσμένες συσκευές και προσπάθησε να διορθώσει συστήματα για να αποτρέψει την παραβίαση από άλλους εισβολείς.
Επρόκειτο για…….. hobby;
Σύμφωνα με τους ερευνητές της Forcepoint, το botnet θα μπορούσε να χαρακτηριστεί περισσότερο σαν hobby project.
Αρχικά, όπως είπαμε και πιο πάνω, εκμεταλλεύτηκε μία μόνο ευπάθεια κατά τη διάρκεια της οκταετούς «ζωής» του και δεν προσπάθησε να επεκτείνει τις λειτουργίες του σε άλλα συστήματα πέρα από τα D-Link NAS και NVR.
Έπειτα, το bοtnet δεν απομακρύνθηκε ποτέ από το σκοπό του, δηλαδή τη λήψη Anime videos. Η Forcepoint είπε ότι το botnet δεν πραγματοποίησε επιθέσεις DDoS, ούτε προσπάθησε να αποκτήσει πρόσβαση σε δεδομένα χρηστών που ήταν αποθηκευμένα στις συσκευές NAS και NVR.
Όλα αυτά υποδηλώνουν ότι ο δημιουργός του botnet, που πιστεύεται ότι είναι ένας Γερμανός άνδρας με το όνομα Stefan, μάλλον δεν είχε στο νου του να χρησιμοποιήσει το Cereals botnet για «κακούς σκοπούς». Ο μόνος του στόχος ήταν η λήψη Anime videos.