Ha querido el azar que tuviera noticia de la botnet Cereals con los primeros sorbos del primer café de la mañana. Y cuando lo habitual es que empieces el día sabiendo de ataques devastadores, vulnerabilidades críticas, infraestructuras atacadas… un hallazgo como este, aún siendo un problema de seguridad, la verdad es que te alegra un poco la mañana, y hasta te hace esbozar una sonrisa.
Y no, no he perdido la cabeza, sé que una botnet es, por definición, algo negativo. Al fin y al cabo hablamos del uso no autorizado de cientos o miles de dispositivos por parte del operador de la red. Sin embargo, después de leer el informe publicado por Forcepoint, y descubrir que Cereals es una botnet dedicada únicamente a descargar anime, es difícil reprimir una sonrisa de alivio.
MS Recomienda
Creada hace casi ocho años, esta botnet ha estado explotando desde entonces una vulnerabilidad que afecta dispositivos NAS y NVR del fabricante D-Link. No ha sido un problema de seguridad desconocido hasta ahora, en realidad y hay informes sobre la misma del año 2012, el mismo que empezó a funcionar Cereals. Así, todo apunta a que, nada más tener conocimiento de esta vulnerabilidad, el creador de la red creo su patógeno y empezó a escanear internet en busca y captura de dispositivos de los que tomar en control.
La red se ha mantenido activa desde entonces, y alcanzó su momento cumbre durante el año 2015, cuando llegó a estar formada por más de 10.000 dispositivos a su servicio. Desde entonces, Cereals está decayendo poco a poco. La principal razón de eso es que los dispositivos D-Link afectados por la vulnerabilidad, en los que se ha sostenido la botnet durante todos estos años han comenzado a envejecer y sus propietarios los están retirando del servicio. El declive de la red se aceleró cuando una cepa del ransomware Cr1ptT0r, del que D-Link ya informó en su momento, eliminó el malware Cereals de muchos sistemas D-Link en el invierno de 2019.
La singularidad de Cereals
Según los investigadores de Forcepoint, la botnet Cereals ha sido única en su modus operandi porque ha explotado una única vulnerabilidad durante sus ocho años de vida. Normalmente, y con un mínimo de visión de futuro, los responsables de este tipo de redes actualizan su malware para sacar partido de nuevos fallos de seguridad. La evolución es una constante en este campo, por lo que nos encontramos ante una singularidad. Y no es baladí, puesto que nos da una pista bastante interesante sobre la razón de ser de la botnet.
A pesar de explotar solo una vulnerabilidad, la botnet ha contado con un desarrollo técnico bastante avanzado. El patógeno ha mantenido hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados, además de intentar parchear los sistemas para evitar que otros atacantes secuestraran los sistemas. Para facilitar la gestión de la red, ha administrado los bots infectados organizándolos en doce subredes más pequeñas. ¿Un desarrollo tan complejo solo para descargar anime?
Los investigadores de Forcepoint lo confirman, durante sus ocho años de vida no se ha empleado para realizar ataques DDoS ni se han encontrado evidencias de que la botnet haya intentado acceder a los datos de usuario almacenados en los dispositivos NAS y NVR. Otro aspecto bastante sorprendente, si tenemos en cuenta que ambas opciones han estado todo el tiempo en la mano del creador de la red.
Todo esto nos lleva a una clara conclusión: Cereals ha sido, durante todo este tiempo, un proyecto de ocio y aprendizaje de su creador. Se trata de una botnet que jamás ha pretendido ser ofensiva, no ha intentado dar el salto a otros dispositivos ni emplear otros exploits del mismo fabricante. Ya fuera como prueba de concepto, como experimento personal o como simple hobby, está claro que si analizamos el actual panorama de botnets, esta red es, sin duda, de las más inofensivas que hemos conocido.
Imagen: Evan-Amos
Fuente:https://www.muyseguridad.net
