Acht Jahre lang betrieb ein Hacker ein riesiges IoT-Botnetz, nur um Anime-Videos herunterzuladen

Fast acht Jahre lang hat ein Hacker heimlich NVRs (Netzwerk-Videorecorder) und NAS von D-Link gekapert (Network-Attached-Storage-)Geräte in ein Botnetz, das ausschließlich dazu diente, eine Verbindung zu Online-Websites herzustellen und Anime-Videos herunterladen.

Das Botnet mit dem Namen Cereals wurde erstmals 2012 entdeckt und erreichte 2015 seinen Höhepunkt, als es mehr als 10.000 Bots ansammelte.

Trotz seiner Größe operierte das Botnetz jedoch, ohne dass es von den meisten Cybersicherheitsfirmen entdeckt wurde. Derzeit verschwindet Cereals langsam, da die anfälligen D-Link-Geräte, mit denen das Unternehmen all die Jahre gespeist hat, in die Jahre gekommen sind und von ihren Besitzern außer Betrieb genommen werden. Darüber hinaus wurde der Niedergang des Botnetzes auch beschleunigt, als ein Ransomware-Typ benannt wurde

Cr1ptT0r hat im Winter 2019 die Cereals-Malware von vielen D-Link-Systemen gelöscht.

Da sowohl das Botnetz als auch die dahinter stehenden anfälligen Geräte aussterben, hat das Cybersicherheitsunternehmen Forcepoint einen veröffentlicht Bericht über die vergangenen Operationen des Botnetzes, ohne befürchten zu müssen, dass sein Bericht die Aufmerksamkeit auf anfällige D-Link-Systeme lenken und eine neue Angriffsserie von anderen Botnetzen auslösen könnte.

Botnet nutzte nur eine einzige Schwachstelle aus

Den Forcepoint-Forschern zufolge war das Cereals-Botnetz in seiner Vorgehensweise einzigartig, da es während seiner gesamten achtjährigen Lebensdauer nur eine Schwachstelle ausnutzte.

Die Verletzlichkeit befand sich in der SMS-Benachrichtigungsfunktion der D-Link-Firmware, die die NAS- und NVR-Geräte des Unternehmens antreibt.

Der Fehler ermöglichte es dem Cereals-Autor, eine fehlerhafte HTTP-Anfrage an den integrierten Server eines anfälligen Geräts zu senden und Befehle mit Root-Rechten auszuführen.

Laut Forcepoint hat der Hacker das Internet nach D-Link-Systemen durchsucht, die für diesen Fehler anfällig sind, und die Sicherheitslücke ausgenutzt, um die Cereals-Malware auf anfälligen NAS- und NVR-Geräten zu installieren.

Obwohl das Botnetz nur eine Schwachstelle ausnutzte, war es recht weit fortgeschritten. Cereals unterhielt bis zu vier Backdoor-Mechanismen für den Zugriff auf infizierte Geräte und versuchte, diese zu patchen Systeme, um andere Angreifer daran zu hindern, Systeme zu kapern, und es verwaltete infizierte Bots in zwölf kleineren Subnetze.

Ein Hobbyprojekt?

Trotz dieser fortgeschrittenen Einrichtung war das Botnet laut Forcepoint jedoch höchstwahrscheinlich ein Hobbyprojekt.

Erstens nutzte das Botnet während seiner achtjährigen Lebensdauer nur eine einzige Schwachstelle aus, ohne sich jemals die Mühe zu machen, seinen Betrieb auf andere Systeme als D-Link NAS und NVRs auszuweiten.

Zweitens ist das Botnetz nie von seinem Ziel abgewichen, Anime-Videos auszunutzen. Forcepoint sagte, das Botnetz habe keine DDoS-Angriffe ausgeführt und auch keine Beweise dafür gefunden, dass das Botnetz versucht habe, auf die auf den NAS- und NVR-Geräten gespeicherten Benutzerdaten zuzugreifen.

All dies deutet darauf hin, dass der Autor des Botnetzes, bei dem es sich vermutlich um einen Deutschen namens Stefan handelt, nie einen Kriminellen hatte Absichten beim Aufbau von Cereals, einem Botnetz, das offenbar nur einen einzigen Zweck hatte – das Herunterladen von Anime Videos.