Categories
程式開發

二次元“中毒”患者?一黑客操縱殭屍網絡8年,只為下動漫視頻


萬萬沒想到“程序員”這麼熱愛二次元。在過去長達8年的時間裡,一名黑客操縱著一個規模龐大的殭屍網絡。但其目的竟然與犯罪沒有半毛錢關係,你可能難以相信,這個殭屍網絡存在的意義只是為了— 下載動漫視頻。

為下動漫視頻,黑客操縱殭屍網絡長達8年

現在程序員群體中,喜歡二次元文化的人越來越多了。

知乎上,在一個很有意思的問題“普通的程序員和大神級的程序員有什麼區別?”下方,答主Momenta神總結了2個大神級程序員選擇頭像的風格特質,一是二次元美少女風,二是喜歡萌寵,尤其愛貓。
二次元“中毒”患者?一黑客操縱殭屍網絡8年,只為下動漫視頻 1

在很多程序員看來,二次元所構建的虛擬世界與它們用代碼構建的世界本質上很像,二次元世界能夠讓他們放鬆的卸下在現實世界的那些枷鎖,得到一種自由的釋放。

你是否喜歡二次元又為它深深著迷嗎?有些程序員甚至成為了二次元重度“中毒”患者。本文中講述的一位黑客的經歷可謂“神奇”,他操縱著一個龐大的殭屍網絡長達8年。但有意思的是,他創辦並運營該殭屍網絡的唯一意圖,竟然只是為了接入在線網站並下載動漫視頻。

動漫真愛粉無疑了。

最近八年以來,為了下動漫視頻,該黑客 一直悄悄將各類D-Link NVR(網絡攝像機)與NAS(網絡附加存儲)設備劫持至自己的殭屍網絡當中。

這套名為Cereals的殭屍網絡於2012年被首次發現,其規模曾在2015年達到規模峰值——操控設備達1萬台。

這套殭屍網絡單純由D-Link NAS與NVR設備組成。

不過更要命的是,規模如此可觀的殭屍網絡,卻長期未能引起大多數網絡安全公司的重視。

目前,Cereals網絡正在自行消失,這主要是由於其多年來一直劫持的D-Link設備開始老化,並被所有者逐步淘汰。此外,2019年冬季一款名為Cr1tT0r的勒索軟件曾大範圍肆虐,以“黑吃黑”的形式將不少D-Link系統中的Cereals惡意軟件清理了出去——該殭屍網絡的規模也隨之縮水。

考慮到Cereals殭屍網絡以及與之對應的網絡設備正在消失,網絡安全公司Forcepoint終於決定發布相關威脅報告,而不再需要擔心過早曝光導致更多攻擊者將矛頭指向這些極易受到入侵的D- Link系統。

單一漏洞催生出的龐大殭屍網絡

根據Forcepoint研究人員們的說明,Cereals殭屍網絡的運作方式相當獨特,因為其在整整八年的生命週期當中僅利用到D-Link系統中的一項安全漏洞。

這項漏洞來自D-Link固件中的SMS通知功能,該固件廣泛支持D-Link品牌的各類NAS與NVR產品。

憑藉這一bug,Cereals的作者得以將格式錯誤的HTTP請求發送至目標設備的內置服務器,並以root權限執行命令。

Forcepoint表示,黑客首先在互聯網上掃描存在此項漏洞的D-Link系統,而後利用該漏洞在目標NAS及NVR設備上安裝了Cereals惡意軟件。

二次元“中毒”患者?一黑客操縱殭屍網絡8年,只為下動漫視頻 2

別看只利用到了一項漏洞,但Cereals殭屍網絡本身還是相當先進的。 Cereals中包含多達四種後門機制以持續訪問受感染設備,不斷更新後門以防止受感染設備被其他攻擊者所劫持,並通過12個較小規模的子網對受感染的肉雞設備進行管理。

非專業項目?

更有趣的是,儘管Cereals本身技術水平頗高,但Forcepoint仍然認為該殭屍網絡可能只是一個因為個人愛好而衍生的非專業項目。

理由如下:

首先,這套殭屍網絡在長達八年的生命週期當中僅利用到單一漏洞,說明攻擊者並不打算費力將其擴展到D-Link NAS及NVR以外的系統當中。

第二,該殭屍網絡的存在目標只有一個——從互聯網上下載動漫視頻。 Forcepoint公司指出,該殭屍網絡從未執行過任何DDoS攻擊,也沒有證據表明Cereals殭屍網絡曾試圖訪問保存在NAS與NVR設備上的用戶數據。

根據目前掌握的情報來看,該殭屍網絡的作者很可能是一位名叫Stefan的德國人,其創造Cereals的初衷與惡意犯罪毫無關係。從頭到尾,Cereals存在的意義都僅僅只是下載動漫視頻。

真的不是很懂你們二次元……

延伸閱讀:

https://www.zdnet.com/article/for-8-years-a-hacker-operated-a-massive-iot-botnet-just-to-download-anime-videos/