A empresa de segurança Forcepoint publicou nesta terça-feira (5) um artigo detalhando o funcionamento de uma botnet no mínimo curiosa: batizada de Cereals (cereais, em inglês) ela infectava dispositivos de IoT (a “internet das coisas”) e parecia ter um único propósito: baixar episódios de anime, os “desenhos animados japoneses”.
A botnet começou a operar em 2012 e durante seu pico, em 2015, chegou a contar com mais de 10 mil dispositivos à disposição de seu operador, que a Forcepoint acredita ser um homem alemão chamado Stefan.
Ela explorava uma vulnerabilidade no firmware de gravadores de vídeo (NVRs) e discos (NAS) conectados a rede produzidos pela D-Link. Uma vez infectados os aparelhos faziam varreduras nas redes às quais estavam conectados em busca de mais equipamentos vulneráveis para infectar e aumentar a botnet.
Os aparelhos infectados eram programados para se conectar periodicamente a sites que distribuem anime e baixar novos vídeos, com uma frequência que não levantasse suspeitas. Os pesquisadores não encontraram evidência de que a botnet tenha sido usada em ataques de negação de serviço (DDoS) ou para acessar dados pessoais de suas vítimas.
Um diagrama do funcionamento da Cereals. Fonte: Fortinet
A rede era bastante sofisticada, com as vítimas distribuídas em 12 sub-redes. Além disso, elas recebiam “patches” para cobrir outras falhas de segurança que pudessem ser usadas para “roubar” o dispositivo para uma botnet concorrente.
Segundo a Forcepoint, a rede era provavelmente um “hobby”, pois seu criador nunca expandiu a lista de vítimas para além dos NVR e NAS da D-Link, nem a usou para qualquer propósito criminoso.
A rede está desaparecendo, à medida que os dispositivos vulneráveis são atualizados com versões mais novas do firmware ou retirados de operação e substituídos por modelos mais novos. Além disso, no final do ano passado um ransomware chamado Cr1ptT0r começou a invadir vários dos aparelhos afetados pelo Cereals, removendo o software dos sistemas.
Uma descrição completa da Cereals e sua forma de operação está disponível no blog da Forcepoint
Fonte: ZDNet
Tags: