- Обнаружен ботнет KadNap из примерно 14 тысяч маршрутизаторов и сетевых устройств, преимущественно производства Asus.
- Ботнет использует сложную пиринговую архитектуру на базе Kademlia для децентрализованного управления и устойчивости к блокировкам.
- Заражённые устройства применяются для проксирования трафика платного анонимного сервиса Doppelganger, а очистка требует сброса настроек и обновления прошивки.
Исследователи компании Lumen Black Lotus Labs выявили крупный устойчивый ботнет, состоящий из порядка 14 тысяч заражённых маршрутизаторов и других сетевых устройств, в основном производства Asus. Этот ботнет, получивший название KadNap, нацелен на использование уязвимостей в устаревших или незащищённых устройствах, которые владельцы не исправили. Примечательно, что злоумышленники, скорее всего, не применяют эксплойты нулевого дня, концентрируясь на известных уязвимостях, включая те, что присутствуют в моделях маршрутизаторов Asus.
KadNap демонстрирует уникальный уровень скрытности и стойкости благодаря своей пиринговой архитектуре, основанной на протоколе распределённых хеш-таблиц Kademlia. Эта технология позволяет распределить управление ботнетом без использования централизованных серверов, что затрудняет его обнаружение и блокирование традиционными методами. В сети организованы специальные ключи и идентификаторы узлов, благодаря чему обмен данными и управление сетевыми узлами происходит максимально скрытно и надёжно.
Заражённые маршрутизаторы преимущественно расположены в США, а также частично на Тайване, в Гонконге и России. Они служат для анонимной передачи интернет-трафика через платный прокси-сервис Doppelganger, который использует интернет-соединения этих устройств без ведома их владельцев. Такой подход обеспечивает высокую пропускную способность и надёжность для клиентов данного сервиса, которые могут получить доступ к заблокированным или ограниченным ресурсам в сети.
Исследователи разработали методы для блокировки трафика, связанного с инфраструктурой управления ботнетом, а также публикуют индикаторы компрометации, помогающие другим защищаться от заражения. Чтобы полностью избавиться от KadNap, пользователям рекомендуют выполнить полный сброс маршрутизатора до заводских настроек, поскольку перезагрузка не устраняет вредоносное ПО из-за механизма автозапуска скриптов оболочки. Также важна установка последних версий прошивки, надёжных паролей администратора и отключение удалённого доступа, если он не необходим.
Подобные современные ботнеты представляют серьёзную угрозу информационной безопасности, особенно учитывая их способность использовать децентрализованные сети и методы, изначально применявшиеся в легитимных пиринговых системах, таких как BitTorrent и IPFS. Исследования, подобные работе Lumen Black Lotus Labs, крайне важны для своевременного обнаружения и нейтрализации таких угроз в глобальной сети.
