O botnet Cereals IoT apareceu em 2012, e atingiu seu ápice em 2015, quando havia cerca 10,000 dispositivos infectados. Todos esses oito anos, o botnet Cereals baixou apenas anime para seu criador.
Todo esse tempo, Cereais exploraram apenas uma vulnerabilidade e atacaram NAS e NVR da D-Link, combinando-os em um botnet.
Por muitos anos, o botnet escapou à atenção dos profissionais de segurança da informação, e agora quase deixou de existir.
“O fato é que os dispositivos D-Link vulneráveis nos quais os Cereais parasitaram começaram a se tornar obsoletos e fora de serviço, aquilo é, eles estão se tornando cada vez menores. Além disso, o ransomware Cr1ptT0r acelerou a decadência da botnet, que destruiu o malware concorrente em dispositivos infectados e removeu o malware Cereals de muitos dispositivos D-Link no inverno de 2019”, - dizem os pesquisadores da Forcepoint.
Agora, à medida que a botnet e os dispositivos vulneráveis que ela explorou estão desaparecendo, Os especialistas da Forcepoint decidiram publicar um relatório sobre as atividades do malware, porque não podem mais ter medo de que o estudo chame a atenção de outros criminosos para dispositivos vulneráveis e provoque o surgimento de novas botnets.
Os especialistas escrevem que os cereais podem ser chamados de fenômeno único, já que o botnet usou apenas uma vulnerabilidade durante todos os oito anos de sua “vida”.
Esse vulnerabilidade estava relacionado ao recurso de notificação por SMS que estava presente no firmware D-Link NAS e NVR. O bug permitiu ao criador do Cereals enviar solicitações HTTP maliciosas aos servidores incorporados de dispositivos vulneráveis e executar comandos com privilégios de root. Desta maneira, o operador de botnet infectou os dispositivos com seu malware.
“A botnet era muito avançada em sua funcionalidade. Portanto, se o ataque tiver sucesso, Cereais suportavam até quatro backdoors ativos nos dispositivos, tentou corrigir os dispositivos atacados para que outros invasores não pudessem atacá-los, e bots distribuídos em 12 pequenas sub-redes”, – dizem os pesquisadores.
No entanto, todos esses esforços, na verdade, foram uma perda de tempo. Analistas da Forcepoint acreditam que Cereais foi hobby de outra pessoa ou projeto criado como brincadeira (presume-se que o autor do malware se chama Stefan e ele mora na Alemanha).
O fato é que a botnet não se envolveu em ataques DDoS, não tentou atacar nenhum outro dispositivo além dos acima, não tentou acessar dados de usuários armazenados em dispositivos infectados. Em vez de, todos esses anos Cereais acabei de baixar metodicamente anime.
No entanto, este é o botnet mais fofo de que falei neste blog – outros geralmente não são assim, por exemplo, leia um artigo sobre Botnet Hoaxcalls, que ataca dispositivos Grandstream.