Восемь лет хакер использовал свой ботнет исключительно для загрузки аниме

В течение почти восьми лет хакер незаметно взламывал сетевые видеорегистраторы (NVR) и сетевые хранилища (NAS) D-Link и собирал из них ботнет с одной-единственной целью – для загрузки аниме.

Ботнет Cereals был впервые обнаружен в 2012 году, и достиг своего пика в 2015 году, когда в него входили 10 тыс. взломанных устройств. Несмотря не внушительные размеры, ботнет оставался практически незамеченным ИБ-экспертами. Сейчас Cereals медленно «умирает», поскольку входящие в него устройства устаревают и перестают использоваться. Также приблизило «кончину» ботнета вымогательское ПО Cr1ptT0r, зимой прошлого года стершее Cereals со многих зараженных устройств D-Link.

Теперь, когда ботнет постепенно угасает, ИБ-компания Forcepoint опубликовала отчет о его прошлых операциях, больше не опасаясь привлечь нежелательное внимание к уже вышедшим из эксплуатации уязвимым устройствам.

По данным экспертов, одной из отличительных черт Cereals является эксплуатация только одной конкретной уязвимости, затрагивающей функцию SMS-уведомлений в устройствах D-Link. С ее помощью оператор ботнета отправлял встроенным в атакуемые устройства серверам вредоносные HTTP-запросы и выполнял команды с привилегиями суперпользователя.

По мнению специалистов Forcepoint, Cereals является для своего создателя всего лишь хобби. Во-первых, он не утруждался эксплуатацией других уязвимостей и не расширял возможности своего вредоноса для заражения устройств помимо NVR и NAS D-Link. Во-вторых, ботнет использовался только для создания «личей» при скачивании аниме. Судя по всему, создатель ботнета, немец по имени Стефан, не преследовал никаких преступных целей.