En uno de esos casos increíbles que sólo suelen ocurrir en internet, la firma de seguridad Forcepoint publicó un reporte que cuenta la historia de la peculiar ‘Botnet Cereals’, una enorme red que se alimentaba de dispositivos secuestrados por un verdadero genio, pero que por alguna extraña razón sólo se usaba para descargar videos de anime.
Durante ocho largos años, un hacker, de quien se desconoce su identidad, secuestró grabadoras de vídeo en red (NVR) y sistemas de almacenamiento en red (NAS) de D-Link. El objetivo fue crear una enorme botnet cuyo único propósito era conectarse a páginas web y descargar videos de anime. Por increíble que parezca.
De acuerdo a la investigación de Forcepoint, donde publicó todos los detalles de este caso, esta botnet tuvo un máximo de 10,000 dispositivos secuestrados en 2015. Pero lo más interesante, es que estuvo operando durante ocho años sin ser detectada.
De hecho, ‘Cereals’ sigue operativa, aunque en menor medida, ya que al tratarse de dispositivos viejos, sus dueños los han ido remplazando por nuevas versiones, lo que ha llevado a que la botnet esté desapareciendo lentamente. Junto a esto, en 2019 el ransomware ‘Cr1ptT0r’ aceleró la desaparición de ‘Cereals’ al borrar parte del malware.
Forcepoint señala que ‘Cereals’ ha sido un caso único, ya que durante ocho años sólo se dedicó a explotar una sola vulnerabilidad, la cual se encontraba en la función de notificación vía SMS del firmware de los NAS y NVR de D-link. Este fallo permitía al hacker enviar una solicitud HTTP errónea al servidor incorporado del dispositivo vulnerable, y así poder ejecutar comandos con privilegios root.
Se cree que el hacker se dedicó a buscar en internet sistemas D-Link vulnerables a este error, y explotó la falla de seguridad para instalar el malware de ‘Cereals’ en los dispositivos NAS y NVR. Por si no fuera suficiente, el hacker también mantenía hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados; intentaba parchar los sistemas para evitar que otros atacantes secuestraran los sistemas; y hasta gestionaba los bots infectados en 12 subredes más pequeñas. En resumen, un verdadero genio.
Sí, se trataba de una botnet sumamente avanzada. Sin embargo, durante los ocho años que estuvo en su apogeo el hacker no quiso ampliar su funcionamiento. Vamos, nunca se desvió de su objetivo de sólo descargar anime. Forcepoint afirma que la botnet no ejecutó ataques DDoS, ni se encontraron pruebas de que la red intentara acceder a los datos de los usuarios almacenados en los dispositivos NAS y NVR.
Por tal motivo, se cree que está botnet era más un pasatiempo y nunca se tuvo intenciones criminales. Un extraño caso que aún deja muchas dudas sobre la mesa.