Para peneliti di perusahaan keamanan cyber Forcepoint telah menemukan bahwa seorang hacker diam-diam membajak perangkat D-Link NVRs (Network Video Recorders) dan NAS (Network-Attached Storage) ke dalam botnet untuk mendownload video anime, lapor ZDNet. 

Botnet bernama “Cereals” pertama kali terlihat pada 2012 dan mencapai puncaknya pada 2015 ketika mengumpulkan lebih dari 10.000 bot yang terhubung ke situs web online untuk mendownload video anime. Para peneliti menamai botnet ‘Cereals’ setelah konvensi penamaan subnetnya. 

Laporan terperinci yang menjelaskan cara kerja Sereal botnet telah dipublikasikan oleh Forcepoint. Terlepas dari ukurannya, sebagian besar botnet tidak terdeteksi selama 8 tahun dari sebagian besar perusahaan keamanan cyber karena hanya mengeksploitasi satu kerentanan pada perangkat NAS dan NVR. 

Menurut Forcepoint, peretas memindai internet untuk perangkat NAS dan NVR yang rentan terhadap bug ini dan mengeksploitasi kelemahan keamanan untuk menginstal malware Cereals. 

Bug ada di fitur notifikasi SMS firmware D-Link yang mendukung jajaran perangkat NAS dan NVR perusahaan. Itu memungkinkan penulis Cereals untuk mengirim permintaan HTTP cacat ke server bawaan perangkat dan menjalankan perintah dengan hak akses root. 

Cereals botnet menggunakan sebanyak empat mekanisme backdoor untuk mengakses perangkat yang terinfeksi. Namun, peretas menambal sistem yang terinfeksi untuk mencegah penyerang lain mengambil alih sistem, dan juga mengelola bot yang terinfeksi di dua belas subnet yang lebih kecil. 

Meskipun botnet sudah cukup maju, penulis Cereals tidak pernah mengeksploitasinya untuk mengakses rekening bank atau mencuri informasi pribadi atau mengeksekusi serangan DDoS atau mengakses data pengguna yang disimpan pada perangkat NAS dan NVR. 

Ini menyiratkan bahwa penulis botnet tidak memiliki motif kriminal dan bahwa botnet sebenarnya adalah proyek hobi dengan satu-satunya tujuan mendownload video anime dari beberapa situs web. 

“Kami juga berharap untuk pengecualian di antara tumpukan permintaan terkait Anime, tapi entah tidak ada, atau itu tidak dialihkan melalui honeypots kami. Kami harus menyimpulkan bahwa ini adalah proyek sederhana Hobby-VPN-Berbasis-Web-Crawler dari seseorang atau ada agenda tersembunyi di balik layar yang tidak memiliki bukti, ”tulis peneliti Forcepoint Robert Neumann menulis . 

Investigasi Forcepoint menemukan bahwa gelombang pertama upaya eksploitasi dicatat dari alamat IP di Jerman, yang merupakan negara asal yang paling mungkin. Selain itu, yang bisa mereka temukan hanyalah nama: Stefan. 

Perusahaan keamanan menggambarkan Stefan sebagai, “individu yang sangat termotivasi dengan pemahaman yang baik tentang perangkat yang disematkan, sistem Linux dan pemrograman skrip” yang menunjukkan, “betapa sederhananya mengeksploitasi kerentanan yang terdokumentasi dengan baik sambil secara cerdik memilih target yang ideal untuk tujuan dan di mana kode berbahaya dapat berada tidak terdeteksi untuk jangka waktu yang lama. “ 

Sumur: