De meeste botnets die uit Internet of Things-apparaten bestaan worden gebruikt voor het delven van cryptovaluta of het uitvoeren van ddos-aanvallen. Onderzoekers hebben echter een botnet gevonden dat op het hoogtepunt uit tienduizend apparaten bestond en als enig doel het downloaden van anime had. Het botnet wist daarbij jarenlang onopgemerkt te blijven.

Dat laat securitybedrijf Forcepoint in een analyse weten. Het "Cereals-botnet", zoals de onderzoekers het noemen, maakte gebruik van een kwetsbaarheid in verschillende NAS-systemen en netwerkvideorecorders van fabrikant D-Link. Via de kwetsbaarheid was het mogelijk om op afstand willekeurige code op de apparaten uit te voeren. Zodra het botnet een kwetsbaar apparaat vond werd er een nieuw root- en remote gebruikersaccounts toegevoegd. Tevens installeerde het botnet een backdoor en probeerde de kwetsbaarheid te verhelpen om andere malware buiten de deur te houden.

Zodra de installatie van de malware was afgerond werden besmette D-Link-apparaten gebruikt voor het downloaden van anime. Hiervoor werd er via de apparaten ingelogd op websites om vervolgens video- en archiefbestanden te downloaden. Het verbaasde de onderzoekers dat ze alleen maar opdrachten voorbij zagen komen voor het downloaden van anime. "Of dit was een eenvoudig hobby-vpn-gebaseerd webcrawlerproject of er is een verborgen agenda waar we geen bewijs voor hebben", zegt onderzoeker Robert Neumann.

Op het hoogtepunt bestond het botnet uit tienduizend apparaten. De afgelopen jaren is de omvang van het botnet sterk afgenomen. Dit komt doordat gebruikers hun systemen, waarvan de eerste in 2012 werden besmet, inmiddels hebben vervangen of weggedaan. Ook kan het zijn dat gebruikers beveiligingsupdates voor de kwetsbaarheid hebben geïnstalleerd en hun systeem hebben gewist, waarmee ook de malware werd verwijderd.

De grootste dreiging voor het Cereals-botnet verscheen eind 2018 met de komst van de "Cr1ptT0r-ransomware", die D-Link-apparaten via een andere kwetsbaarheid infecteerde en aanwezige bestanden versleutelde. Vanwege de impact van de ransomware besloot D-Link zelfs voor sommige apparaten die niet meer werden ondersteund updates uit te brengen.

Volgens Neumann vormt het groeiend aantal IoT-apparaten een uitdaging voor bedrijven en eindgebruikers. Zelfs wanneer fabrikanten kwetsbaarheden verhelpen beschikken veel apparaten niet over een automatische updatefunctie, wat inhoudt dat gebruikers hun apparatuur handmatig moeten updaten.

"Het opzetten van het Cereals-botnet vereiste geen duizenden regels van apparaatspecifieke code. In plaats daarvan heeft een zeer gemotiveerd individu met een goed begrip van embedded apparaten, Linux-systemen en scripting laten zien hoe eenvoudig het is om een goed gedocumenteerde kwetsbaarheid te misbruiken, en apparaten te kiezen waar een infectie jarenlang onopgemerkt blijft. En dat allemaal om zijn eigen persoonlijke belangen te dienen", aldus Neumann over de ontwikkelaar van het botnet.