二次元“中毒”患者?一黑客操纵僵尸网络8年,只为下载动漫视频

万万没想到“程序员”这么热爱二次元。在过去长达8年的时间里,一名黑客操纵着一个规模庞大的僵尸网络。但其目的竟然与犯罪没有半毛钱关系,你可能难以相信,这个僵尸网络存在的意义只是为了— 下载动漫视频。

为下动漫视频,黑客操纵僵尸网络长达8年

现在程序员群体中,喜欢二次元文化的人越来越多了。

知乎上,在一个很有意思的问题“普通的程序员和大神级的程序员有什么区别?”下方,答主Momenta神总结了2个大神级程序员选择头像的风格特质,一是二次元美少女风,二是喜欢萌宠,尤其爱猫。

在很多程序员看来,二次元所构建的虚拟世界与它们用代码构建的世界本质上很像,二次元世界能够让他们放松的卸下在现实世界的那些枷锁,得到一种自由的释放。

你是否喜欢二次元又为它深深着迷吗?有些程序员甚至成为了二次元重度“中毒”患者。本文中讲述的一位黑客的经历可谓“神奇”,他操纵着一个庞大的僵尸网络长达8年。但有意思的是,他创办并运营该僵尸网络的唯一意图,竟然只是为了接入在线网站并下载动漫视频。

动漫真爱粉无疑了。

最近八年以来,为了下动漫视频,该黑客 一直悄悄将各类D-Link NVR(网络摄像机)与NAS(网络附加存储)设备劫持至自己的僵尸网络当中。

这套名为Cereals的僵尸网络于2012年被首次发现,其规模曾在2015年达到规模峰值——操控设备达1万台。

这套僵尸网络单纯由D-Link NAS与NVR设备组成。

不过更要命的是,规模如此可观的僵尸网络,却长期未能引起大多数网络安全公司的重视。

目前,Cereals网络正在自行消失,这主要是由于其多年来一直劫持的D-Link设备开始老化,并被所有者逐步淘汰。此外,2019年冬季一款名为Cr1tT0r的勒索软件曾大范围肆虐,以“黑吃黑”的形式将不少D-Link系统中的Cereals恶意软件清理了出去——该僵尸网络的规模也随之缩水。

考虑到Cereals僵尸网络以及与之对应的网络设备正在消失,网络安全公司Forcepoint终于决定发布相关威胁报告,而不再需要担心过早曝光导致更多攻击者将矛头指向这些极易受到入侵的D-Link系统。

单一漏洞催生出的庞大僵尸网络

根据Forcepoint研究人员们的说明,Cereals僵尸网络的运作方式相当独特,因为其在整整八年的生命周期当中仅利用到D-Link系统中的一项安全漏洞。

这项漏洞来自D-Link固件中的SMS通知功能,该固件广泛支持D-Link品牌的各类NAS与NVR产品。

凭借这一bug,Cereals的作者得以将格式错误的HTTP请求发送至目标设备的内置服务器,并以root权限执行命令。

Forcepoint表示,黑客首先在互联网上扫描存在此项漏洞的D-Link系统,而后利用该漏洞在目标NAS及NVR设备上安装了Cereals恶意软件。

别看只利用到了一项漏洞,但Cereals僵尸网络本身还是相当先进的。Cereals中包含多达四种后门机制以持续访问受感染设备,不断更新后门以防止受感染设备被其他攻击者所劫持,并通过12个较小规模的子网对受感染的肉鸡设备进行管理。

非专业项目?

更有趣的是,尽管Cereals本身技术水平颇高,但Forcepoint仍然认为该僵尸网络可能只是一个因为个人爱好而衍生的非专业项目。

理由如下:

首先,这套僵尸网络在长达八年的生命周期当中仅利用到单一漏洞,说明攻击者并不打算费力将其扩展到D-Link NAS及NVR以外的系统当中。

第二,该僵尸网络的存在目标只有一个——从互联网上下载动漫视频。Forcepoint公司指出,该僵尸网络从未执行过任何DDoS攻击,也没有证据表明Cereals僵尸网络曾试图访问保存在NAS与NVR设备上的用户数据。

根据目前掌握的情报来看,该僵尸网络的作者很可能是一位名叫Stefan的德国人,其创造Cereals的初衷与恶意犯罪毫无关系。从头到尾,Cereals存在的意义都仅仅只是下载动漫视频。

真的不是很懂你们二次元……

延伸阅读:

https://www.zdnet.com/article/for-8-years-a-hacker-operated-a-massive-iot-botnet-just-to-download-anime-videos/

  • 发表于:
  • 本文为 InfoQ 中文站特供稿件
  • 首发地址https://www.infoq.cn/article/WGxdmS1wXvt2ehWIY4Pp
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券