サイバーセキュリティ企業Forcepointの研究者らは、ハッカーがアニメ(日本のアニメーション)ビデオをダウンロードするためにD-Link NVR(ネットワークビデオレコーダー)とNAS(ネットワーク接続ストレージ)デバイスをボットネットに黙って乗っ取っていたことを発見したと報告している。ZDNet。
「Cereals」という名前のボットネットは 2012 年に初めて発見され、アニメビデオをダウンロードするためにオンライン Web サイトに接続された 10,000 個以上のボットを収集し、2015 年にピークに達しました。研究者らは、サブネットの命名規則にちなんでボットネットを「Cerials」と名付けました。
Cereals ボットネットの動作を説明する詳細なレポートが作成されました。出版されたフォースポイントによる。
このボットネットは、その規模にもかかわらず、NAS および NVR デバイスのたった 1 つの脆弱性を悪用したため、8 年間ほとんどのサイバー セキュリティ企業からほとんど検出されませんでした。
Forcepoint によると、ハッカーはこのバグに対して脆弱な NAS および NVR デバイスをインターネット上でスキャンし、セキュリティ上の欠陥を悪用して Cereals マルウェアをインストールしました。
このバグは、同社の NAS および NVR デバイス製品ラインに搭載されている D-Link ファームウェアの SMS 通知機能に存在していました。これにより、Cerials の作成者はデバイスの内蔵サーバーに不正な HTTP リクエストを送信し、root 権限でコマンドを実行することができました。
Cereals ボットネットは、感染したデバイスにアクセスするために 4 つものバックドア メカニズムを使用しました。しかし、ハッカーは感染したシステムにパッチを適用して他の攻撃者によるシステムの乗っ取りを防ぎ、さらに 12 の小さなサブネットにまたがる感染したボットを管理しました。
このボットネットは非常に高度なものであったにもかかわらず、Cereals の作成者は、ボットネットを悪用して銀行口座にアクセスしたり、個人情報を盗んだり、DDoS 攻撃を実行したり、NAS や NVR デバイスに保存されているユーザー データにアクセスしたりすることはありませんでした。
これは、ボットネットの作成者に犯罪的動機はなく、ボットネットが実際には複数の Web サイトからアニメ ビデオをダウンロードすることだけを目的とした趣味のプロジェクトであったことを意味します。
「また、アニメ関連のリクエストの山の中に例外があることを期待していましたが、例外がなかったか、ハニーポットを介してルーティングされなかったかのどちらかです。これは誰かの単純なホビー VPN ベースのウェブ クローラー プロジェクトであるか、裏で証拠が不足している隠された計画があるかのどちらかであると結論付ける必要がありました。」と Forcepoint 研究者のロバート ニューマン氏は述べています。書きました。
Forcepoint の調査により、悪用の試みの最初の波は、発信国である可能性が最も高いドイツの IP アドレスから記録されたことが判明しました。これ以外に、彼らが見つけられたのはステファンという名前だけでした。
セキュリティ会社は、ステファンを「組み込みデバイス、Linux システム、およびスクリプト プログラミングをよく理解している意欲的な人物」と説明し、「十分に文書化された脆弱性を悪用し、同時にセキュリティにとって理想的なターゲットを巧妙に選択することがいかに簡単であるかを示した」と述べています。目的があり、悪意のあるコードが長期間検出されずに存在する可能性がある場所です。」
Cereals ボットネットの詳細が今回明らかになったのは、主に脆弱な D-Link NAS および NVR デバイスが所有者によって撤去されていることが主な理由で、アニメを収集するボットネットは時間の経過とともに徐々に消滅していったためです。また、次の名前のランサムウェア株も原因です。Cr1ptT0rは、2019 年中にいくつかの D-Link システムから Cereals マルウェアを削除しました。
こちらもお読みください-最高のアニメトレントウェブサイト
