Bir Hacker, 8 Yıl Boyunca Botnetle Anime Görüntüleri İndirmiş

Siber güvenlik araştırmacıları, bugün çok enteresan bir hackerlık faaliyetini kamuoyuyla paylaştı. Forcepoint'ten araştırmacıların aktardığına göre bir hacker, yaklaşık 8 yıl boyunca D-Link NVR (ağ görüntü kaydediciler) ve NAS (ağ temaslı depolama) aygıtlarını bir botnete dönüştürdü. Sessiz sedasız yapılan bu sürecin tek hedefiyse çevrimiçi internet sitelerine bağlanarak anime görüntüler indirmekti. Cereals ismi verilen ve birinci kere 2012 yılında görülen bu botnet, tepe noktasına ulaştığı 2015 yılında 10.000'den fazla botu toplayabiliyordu.

Boyutunun büyüklüğüne rağmen botnet, siber güvenlik firmalarının radarına yakalanmadan faaliyet yürütmeyi başardı. Cereals, yavaşça ortadan kalkmaya başladı zira açıklarını kullandığı D-Link aygıtları eskidi ve sahipleri tarafından kullanılmamaya başlandı. Ayrıca Cr1ptT0r ismi verilen bir fidye yazılımının 2019 yılının kış aylarındaki D-Link aygıtlara yönelik saldırısında Cereals berbat niyetli yazılımı da yok edildi. 8 yıllık maceranın başrolü olan botnetin ve korunmasız aygıtların ortadan kalkmasıyla birlikte Cereals'ın öyküsü kamuoyuyla paylaşıldı.

Sadece tek bir açığı kullandı:

Araştırmacıların belirttiğine göre Cereals'ın faaliyet yürütme biçimi benzersizdi zira bu botnet 8 yıllık hayatı boyunca sadece tek bir açığı kullandı. Bu açık, D-Link aygıt yazılımının SMS bildirimi özelliğiyle şirketin NAS ve NVR aygıtlarındaki sınırı harekete geçirmesi üzerinden istismar ediliyordu. Açık; Cereals'ın sahibine, savunmasız cihazın sunucusuna makûs niyetli bir biçimde düzenlenmiş bir HTTP isteği yollayıp bu formda kök dizini ayrıcalıklarıyla komut çalıştırmasına imkan tanıyordu.

Forcepoint'in açıklamasına nazaran hacker, interneti tarayarak bu açığa sahip D-Link sistemlerini buluyor ve bu güvenlik açığını kullanarak Cereals yazılımını NAS ve NVR aygıtlarına yüklüyordu. Bununla birlikte Cereals, tek bir açığı kullanmasına karşın bir oldukça gelişmiş bir sistem üzere görünüyor. Virüsün bulaştığı aygıtlara erişim için 4 farklı art kapı düzeneğine sahip botnet, diğer saldırganların sistemi ele geçirmesini engellemek için aygıtların sistemine yama yapıyordu ve botları 12 küçük alt ağ aracılığıyla yönetiyordu.

Forcepoint araştırmacıları, tüm gelişmiş özelliklerine karşın Cereals'ın bir 'hobi projesi' olduğunu vurguluyor. D-Link NAS ve NVR sistemlerinin ötesinde bir faaliyet yürütmeye kalkışmayan botnet, ayrıyeten anime görüntüleri indirmek dışında da hiçbir faaliyet için kullanılmamış. DDoS hücumları yapmayan botnet, yönettiği aygıtlardaki kullanıcı bilgilerini elde etmek için de yönlendirilmemiş. Adının Stefan olduğu söylenen Alman hackerın bu nedenle botneti rastgele bir cürüm işlemek gayesiyle yaratmadığı düşünülüyor.