La botnet Cereals IoT apareció en 2012, y alcanzó su punto máximo en 2015, cuando había aproximadamente 10,000 dispositivos infectados. Todos estos ocho años, La botnet Cereals solo descargó anime para su creador..
todo este tiempo, Cereals aprovechó solo una vulnerabilidad y atacó el NAS y NVR de D-Link, combinándolos en una botnet.
Durante muchos años, La botnet ha eludido la atención de los profesionales de seguridad de la información., y ahora casi ha dejado de existir.
“El hecho es que los vulnerables dispositivos D-Link en los que Cereals parasitaba comenzaron a volverse obsoletos y fuera de servicio., eso es, cada vez son más pequeños. Además, el ransomware Cr1ptT0r aceleró la decadencia de la botnet, que destruyó el malware de la competencia en los dispositivos infectados y eliminó el malware Cereals de muchos dispositivos D-Link en el invierno de 2019”, — dicen los investigadores de Forcepoint.
Ahora, a medida que la botnet y los dispositivos vulnerables que ha explotado están desapareciendo, Los expertos de Forcepoint decidieron publicar un informar sobre las actividades del malware, porque ya no pueden temer que el estudio atraiga la atención de otros delincuentes sobre dispositivos vulnerables y provoque la aparición de nuevas botnets..
Los expertos escriben que a los cereales se les puede llamar fenómeno único, ya que la botnet utilizó solo una vulnerabilidad durante los ocho años de su "vida".
Éste vulnerabilidad estaba relacionado con la función de notificación por SMS que estaba presente en el firmware D-Link NAS y NVR. El error permitió al creador de Cereals enviar solicitudes HTTP maliciosas a los servidores integrados de dispositivos vulnerables y ejecutar comandos con privilegios de root.. De este modo, el operador de la botnet infectó los dispositivos con su malware.
“La botnet tenía una funcionalidad muy avanzada.. Por lo tanto, si el ataque tuvo éxito, Cereals admitía hasta cuatro puertas traseras activas en los dispositivos, intentó parchear los dispositivos atacados para que otros atacantes no pudieran atacarlos, y bots distribuidos en 12 pequeñas subredes”, – dicen los investigadores.
Sin embargo, todos estos esfuerzos, en realidad, fueron una perdida de tiempo. Los analistas de Forcepoint creen que Cereals fue el hobby de otra persona o un proyecto creado como una broma (se supone que el autor del malware se llama Esteban y el vive en alemania).
El hecho es que la botnet no realizó ataques DDoS., no intentó atacar ningún otro dispositivo que no sea el anterior, no intentó acceder a los datos del usuario almacenados en dispositivos infectados. En cambio, todos estos años cereales Acabo de descargar anime metódicamente..
Sin embargo, Esta es la botnet más linda de la que hablé en este blog. – otros en su mayoría no son así, por ejemplo, leer un artículo sobre Botnet de llamadas falsas, que ataca a los dispositivos Grandstream.