Tausende Router von Resilient Kademlia-basiertem Botnet infiziert
Forscher entdecken ein 14.000-köpfiges Botnetz aus Asus-Routern, das das Kademlia-Protokoll nutzt, um Abschaltungen zu verhindern und Cyberkriminalitätsaktivitäten voranzutreiben.
Forscher haben ein abschaltbares Botnetz aus 14.000 Routern und anderen Netzwerkgeräten – hauptsächlich von Asus – entdeckt, die in ein Proxy-Netzwerk eingebunden wurden, das für Cyberkriminalität genutzt wird.
Die Malware mit dem Namen KadNap greift nach Angaben von Chris Formosa, einem Forscher beim Sicherheitsunternehmen Lumen's Black Lotus Labs, durch das Ausnutzen von Schwachstellen an, die von ihren Besitzern nicht behoben wurden. Die hohe Konzentration an Asus-Routern ist wahrscheinlich darauf zurückzuführen, dass Botnet-Betreiber einen zuverlässigen Exploit für Schwachstellen dieser Modelle erhalten, obwohl Formosa sagte, es sei unwahrscheinlich, dass die Angreifer bei dem Vorgang Zero-Days nutzen.
Die Zahl der infizierten Router beträgt durchschnittlich etwa 14.000 pro Tag, verglichen mit 10.000 im letzten August, als Black Lotus das Botnetz entdeckte. Kompromittierte Geräte befinden sich überwiegend in den USA, mit kleineren Populationen in Taiwan, Hongkong und Russland
Eines der hervorstechendsten Merkmale von KadNap ist sein ausgeklügeltes Peer-to-Peer-Design, das auf Kademlia basiert, einer Netzwerkstruktur, die verteilte Hash-Tabellen verwendet, um die IP-Adressen von Befehls- und Kontrollservern zu verbergen. Dieses Design macht das Botnetz resistent gegen Erkennung und Beseitigung durch herkömmliche Methoden.
Kademlia ist ein dezentrales Peer-to-Peer-Protokoll, das es dem Botnetz ermöglicht, zu funktionieren, ohne auf einen zentralen Befehls- und Kontrollserver angewiesen zu sein. Dies macht es für Sicherheitsforscher und Strafverfolgungsbehörden viel schwieriger, den Betrieb des Botnetzes zu stören, indem sie einen zentralen Kontrollpunkt lahmlegen.
Die Kademlia-basierte Architektur von KadNap trägt auch dazu bei, den über die infizierten Router fließenden Datenverkehr zu anonymisieren, wodurch es schwierig wird, den Ursprung von Cyberkriminalitätsaktivitäten bis zu den Betreibern des Botnetzes zurückzuverfolgen. Dies macht das Botnetz zu einer wertvollen Ressource für eine Vielzahl illegaler Online-Aktivitäten, von Spam und DDoS-Angriffen bis hin zum Hosten von Phishing-Websites und anderen bösartigen Inhalten.
Laut Formosa sticht das KadNap-Botnetz unter anderen Malware-Bedrohungen durch seine Größe, Widerstandsfähigkeit und die Ausgereiftheit seiner zugrunde liegenden Architektur hervor. Die Forscher von Black Lotus Labs überwachen weiterhin die Aktivitäten des Botnetzes und arbeiten mit Industriepartnern zusammen, um die von ihm ausgehende Bedrohung einzudämmen.
Quelle: Ars Technica
