Przez niemal osiem lat, pochodzący prawdopodobnie z Niemiec haker, wykorzystywał luki w oprogramowaniu sprzętu popularnej firmy. Ściągał anime.
Haker bez złych zamiarów?
To zdecydowanie nie był typowy botnet – w szczytowym momencie skupiał około 10,000 urządzeń firmy D-LINK: chodziło o rejestratory NVR oraz dyski NAS. Trzeba jednak zaznaczyć, że autor prawdopodobnie nie miał złych zamiarów. Od początku do końca głównym celem atakującego było ściąganie anime – ani razu nie próbował uzyskać dostępu do plików użytkowników, nie wykorzystywał innych luk i nie brał udziału w atakach DDoS.
W jaki sposób atakujący przejmował kontrolę nad urządzeniami? Autor botnetu nazwanego „Cereals” wykorzystał błędy w oprogramowaniu urządzeń – wysyłał spreparowane żądanie HTTP, które z kolei dawało mu możliwość wykonywania poleceń z uprawnieniami administratora.
Osiem lat pobierania anime
Pierwsze ślady botnetu pojawiły się w 2012 roku, swój szczytowy rozmiar zaś Cereals osiągnęło w 2015. Pomimo dużych rozmiarów, nie zostało ono wykryte przez większość firm zajmujących się cyberbezpieczeństwem. Nie można jednak powiedzieć, że był to projekt w stu procentach amatorski – w obawie przed przejęciem urządzeń przez innych, haker aktualizował regularnie ich oprogramowanie, zostawiając sobie backdoory. Dodatkowo botnet podzielony był na dwanaście mniejszych podsieci.
Sieć działała w bardzo prosty sposób – za pomocą odpowiednich żądań logowała się na strony internetowe, wyszukiwała odpowiednie hasła, i w końcu wyodrębniała bezpośrednie linki głównie do plików wideo (MP4, AVI) lub do archiwów RAR. Żądania te nie były jednak zbyt natarczywe – często odstęp między nimi wynosił kilka minut, aby uniknąć wykrycia.
Co dobre musi się jednak kiedyś skończyć – po ośmiu latach wiele urządzeń, które były częścią botnetu, zostało wymienionych na nowe. Nie pomogły też ataki ransomware’ów – złośliwe oprogramowanie szyfrujące odebrało hakerowi dostęp do znacznej części zainfekowanego sprzętu. Co ciekawe, luka była na tyle poważna, że nieliczne firmy, które natrafiły na ślad Cereals zdecydowały się na ujawnienie informacji dopiero w maju tego roku – wcześniej obawiały się, że podatność zostanie wykorzystana przez innych atakujących, których zamiary mogłyby być bardziej szkodliwe.
