Mások informatikai eszközei felett átvenni az irányítást és azokon a tulajdonosok tudta nélkül műveleteket végrehajtani se nem jogszerű, se nem etikus cselekmény. Az élet azonban néha szolgáltat olyan példát, amikor még egy ilyen jellegű akció esetében sem tud mást tenni az ember, mint mosolyogni.

Hosszú, eredményes élete volt

A Cerealsnak elnevezett, IoT-eszközökön nagyjából nyolc éven keresztül folyamatosan "élősködő" botnet tevékenységéről csak nemrégiben számoltak be részletesen a Forcepoint szakértői. Maga a botnet meglehetősen célirányos volt, akár a lehetséges célpontok körét, a fertőzés módját, vagy éppen a felhasználást nézzük. A Cereals 2015-ben volt a csúcson, amikor is több mint 10 ezer eszközt irányított. 

A botnet mögött álló hekker kifejezetten azokra a D-Link által gyártott NAS-okra és NVR-ekre vadászott, amelyeknek egy SMS-értesítéssel összefüggő sérülékenységét tudta nagy biztonsággal kihasználni. Egy megfelelően preparált HTTP-kéréssel root jogosultságot szerzett az eszközökön, amelyeket internetes kutatással azonosított be.

A botnet működési ábrája (forrás: Forcepoint)

Annak ellenére, hogy a botnet csak bizonyos modellek egyetlen sebezhetőségét használta ki, a rendszer meglehetősen szofisztikáltan működött. A Cereals például négy backdoort is létesített a fertőzött eszközökön, hogy biztosan kontroll alatt maradjanak. A botnet még biztonsági óvintézkedéseket is tett, például frissítette az uralt modelleket, hogy azokat más támadók ne tudják könnyen hatalmukba keríteni. 

A Cereals az óvatos és nem túl mohó működésének köszönhetően évekig elkerülte a kiberbiztonsági cégek többségének figyelmét, ám mára gyakorlatilag kihalt. Ennek egyik oka, hogy a sebezhető D-Link eszközök elöregedtek, és cseréjükkel egyre fogy a rabszolgagépnek kiszemelt eszközök száma is. A másik komoly csapást egy rivális mérte a botnetre. A Cr1ptTOr elnevezésű ransomware ugyanis tavaly egy csomó D-Link-rendszerből takarította ki a Cereals kódját.

Csak nézünk nagy szemekkel

Ahogy említettük, a botnet nem igazán foglalkozott kiterjedt tevékenységgel. Például soha nem indítottak vele egyetlen DDoS-támadást sem, és arra sem találtak semmiféle jelet a biztonsági kutatók, hogy a Cereals valaha is a megfertőzött eszközökön található személyes adatokban kutakodott volna. A hálózat csakis egyetlen dolgot csinált: folyamatosan animét, azaz japán stílusú rajzfilmeket töltött le.

Utóbbi alapján a Forcepoint elég nagy biztonsággal arra tippelnek, hogy egy "hobbiprojektről" van szó, amelynek megalkotója és üzemeltetője valószínűleg Németországban él és Stefánnak hívják. Egy biztos, Stefan lehet a világ egyik legelkötelezettebb anime-rajongója.