Pese a la cantidad de servicios de streaming disponibles (o tal vez gracias a ellos), la piratería sigue siendo muy popular, especialmente en determinados sectores y comunidades.
Para los aficionados al anime (animación japonesa), por ejemplo, descargarse los últimos capítulos de su serie favorita es algo muy común. Claro, que la mayoría no llega al extremo de infectar miles de dispositivos con la única intención de conseguir más vídeos pirata.
Ese parece ser el objetivo de una 'botnet', una red de bots compuesta de dispositivos infectados con un malware que permite su control remoto. Las 'botnet' son muy usadas por los hackers, especialmente para la ejecución de ataques DDOS (denegación de servicio); al estar compuesta de miles de dispositivos, si todos se intentan conectar al mismo tiempo el servidor no podrá responder a todos.
Una gigantesca red para descargar anime
Pero la función de Cereals, la 'botnet' descubierta por la firma de seguridad Forcepoint es completamente diferente. Desde el pasado 2012, la única función de esta red de dispositivos consiste en conectarse a páginas web para descargar vídeos de anime.
De hecho, Cereals sigue en funcionamiento, aunque su tamaño es mucho más modesto de lo que fue en su día; en el 2015, más de 10.000 dispositivos formaban parte de esta operación. No eran ordenadores, sino que el atacante se aprovechaba de dispositivos NVR (grabadores de vídeo conectados a la red) y NAS (almacenamiento conectado a la red).
En ambos casos se aprovechaba de la misma vulnerabilidad, presente en el firmware de dispositivos de la marca D-Link. El atacante podía enviar una petición HTTPS al dispositivo vulnerable para tomar el control completo y obligarle a ejecutar comandos. Unos comandos que, recordemos, consistía en descargar vídeos.
Un 'hobby' para el atacante
Lo más chocante es que no parece una operación sencilla; los investigadores descubrieron cuatro salvaguardas para acceder a los dispositivos, y los 'protegía' de otros atacantes.
Es por todo esto que los investigadores creen que esta red maliciosa fue fruto de un "hobby"; se basan en que el atacante nunca intentó expandir la 'botnet' usando otras vulnerabilidades, ni tampoco parecía interesarle los datos guardados en los dispositivos. Por lo tanto, puede que eligiese descargar anime simplemente porque fue lo primero que se le pasó por la cabeza; sólo quería comprobar que funcionaba, y esa era una opción tan buena como cualquier otra.
Es muy posible que la 'botnet' alcanzase semejante tamaño por si sola, de manera completamente automatizada. El autor de la red habría sido identificado como un hombre alemán, gracias a que al principio ni siquiera intentó ocultarlo y se conectaba desde su propia dirección IP; sólo después empezó a usar la red TOR para intentar tapar ssu identidad.