Des hackers ont infecté des appareils de stockage en réseau de D-Link dans le seul but de parcourir la Toile à la recherche de liens de téléchargement d’œuvres japonaises. Plutôt étrange.
Dans le monde des hackers, certains comportements restent parfois incompréhensibles, et c’est le cas du botnet baptisé « Cereals », qui a été analysé par les chercheurs en sécurité de Forcepoint. De prime abord, il ressemble à un énième clone de Mirai, car il ne vise que des objets connectés, en occurrence des serveurs de stockage NAS ou des enregistreurs vidéo NVR.
Mais la réalité est toute autre. Tout d’abord, Cereals ne se propage pas de façon automatique comme un ver. Les nœuds sont infectés de façon manuelle, probablement avec l’aide d’un moteur de recherche type Shodan ou Censys. Autre particularité : Cereals ne cible que les modèles de la marque D-Link. La raison est assez simple. Pour infecter les appareils, les hackers utilisent une faille de sécurité qui n’existe que dans les firmwares de ce fabricant.
Mais le plus étonnant, c’est que ce botnet n’a pas de but réellement cybercriminel, comme les attaques DDoS, le spam ou le vol de données. D’après les chercheurs, les nœuds ne poursuivent qu’un seul but, celui de trouver sur la Toile des liens de téléchargement direct de dessins animés japonais, qu’il s’agisse de fichiers AVI et MP4 ou d’archives RAR. Aucun autre comportement suspect n’a été détecté. Même les fichiers des appareils infectés n’ont pas été touchés.
Une passion dévorante
La seule explication que les chercheurs ont trouvée, c’est qu’il doit s’agir de hackers passionnés qui ont créé ce botnet pour leur hobby. Il est impossible à ce stade de savoir de qui il s’agit. Néanmoins, quelques indices pointent vers l’Outre-Rhin. Certaines connexions proviennent ainsi d’un domaine allemand. Les chercheurs ont également repéré des adresses e-mail de T-Online et un nom d’utilisateur typiquement germanique (« stefan »).
S’il s’agit d’un hobby, on ne peut que tirer son chapeau devant l’énergie qui a été mobilisée pour assouvir cette passion. En 2015, l’année de son zénith, ce botnet dépassait les 10 000 machines qui, rappelons-le, ont toutes été infectées à la main. Tout cet ensemble a été soigneusement subdivisé en 12 sous-réseaux, probablement pour des raisons de répartition de charge.
Par ailleurs, les hackers ont mis en place de multiples canaux de communication pour chacun des nœuds. Ces derniers pouvaient récupérer des commandes par des flux RSS. Ils étaient également accessibles directement par un VPN configuré au moment de l’infection. Enfin, une backdoor de secours permettait de reprendre la main en cas de pépin.
Actuellement, le botnet Cereals est en décrépitude et ne compte plus que quelques centaines d’appareils. Cette déchéance s’explique par la mise en retraite progressive des appareils ciblés, ainsi que par le passage un peu brutal du ransomware Cr1pT0r fin 2018, spécialisé lui aussi sur les appareils D-Link. Ainsi va la vie dans le monde des botnets.
source : 01net