IoT-ботнет Cereals появился еще в 2012 году, а пика своей активности достиг в 2015, когда насчитывал около 10 000 зараженных устройств. Все это время Cereals использовал всего одну уязвимость и атаковал NAS и NVR компании D-Link, объединяя их в ботнет.
Долгие годы ботнет ускользал от внимания большинства ИБ-специалистов, а сейчас и вовсе почти прекратил свое существование. Дело в том, что уязвимые устройства D-Link, на которых Cereals паразитировал, начали устаревать и выходить из строя, то есть их становится все меньше и меньше. Кроме того, распад ботнета ускорил вымогатель Cr1ptT0r, который уничтожал конкурирующую малварь на зараженных устройствах и удалил малварь Cereals со многих девайсов D-Link зимой 2019 года.
Теперь, когда ботнет и уязвимые устройства, которые он эксплуатировал, исчезают, эксперты компании Forcepoint решили опубликовать отчет о деятельности малвари, ведь более можно не опасаться того, что исследование привлечет внимание других преступников к уязвимым девайсам и спровоцирует появление новых ботнетов.
Эксперты пишут, что Cereals можно назвать уникальным явлением, так как ботнет использовал лишь одну уязвимость на протяжении всех восьми лет своей «жизни». Эта уязвимость была связана с функцией SMS-уведомлений, которая присутствовала в прошивках NAS и NVR компании D-Link. Баг позволял создателю Cereals отправлять вредоносные HTTP-запросы на встроенные серверы уязвимых девайсов и выполнять команды с правами root. Таким образом оператор ботнета и заражал устройства своей малварью.
Исследователи отмечают, что по своей функциональности ботнет был весьма продвинутым. Так, если атака удавалась, Cereals поддерживал на устройствах до четырех активных бэкдоров, старался пропатчить атакованные девайсы, чтобы другие злоумышленники не могли атаковать их, и распределял ботов по 12 небольшим подсетям.
Однако все эти усилия, по сути, пропадали впустую и не имели под собой никакой цели. Аналитики Forcepoint полагают, что Cereals был чьим-то хобби или проектом, созданным ради шутки (предполагается, что автора малвари зовут Стефан, и он проживает в Германии).
Дело в том, что ботнет не занимался DDoS-атаками, не пытался атаковать какие-либо еще девайсы, кроме вышеупомянутых, не пытался получить доступ к пользовательским данным, хранящимся на зараженных устройствах. Вместо этого все эти годы Cereals просто методично скачивал аниме.
