Miles de enrutadores infectados por la resistente botnet basada en Kademlia
Los investigadores descubren una botnet de 14.000 enrutadores Asus que aprovecha el protocolo Kademlia para resistir derribos y potenciar actividades de ciberdelincuencia.
Los investigadores han descubierto una botnet resistente a la destrucción de 14.000 enrutadores y otros dispositivos de red (fabricados principalmente por Asus) que han sido reclutados en una red proxy utilizada para el crimen cibernético.
El malware, denominado KadNap, se arraiga explotando vulnerabilidades que sus propietarios no han parcheado, según Chris Formosa, investigador de la firma de seguridad Black Lotus Labs de Lumen. La alta concentración de enrutadores Asus probablemente se deba a que los operadores de botnets adquirieron un exploit confiable para las vulnerabilidades que afectan a esos modelos, aunque Formosa dijo que es poco probable que los atacantes estén utilizando días cero en la operación.
El número de enrutadores infectados promedia unos 14.000 por día, frente a los 10.000 del pasado mes de agosto, cuando Black Lotus descubrió la botnet. Los dispositivos comprometidos se encuentran abrumadoramente en EE.UU., con poblaciones más pequeñas en Taiwán, Hong Kong y Rusia.
Una de las características más destacadas de KadNap es su sofisticado diseño peer-to-peer basado en Kademlia, una estructura de red que utiliza tablas hash distribuidas para ocultar las direcciones IP de los servidores de comando y control. Este diseño hace que la botnet sea resistente a la detección y eliminación mediante métodos tradicionales.
Kademlia es un protocolo de igual a igual descentralizado que permite que la botnet funcione sin depender de un servidor central de comando y control. Esto hace que sea mucho más difícil para los investigadores de seguridad y las fuerzas del orden interrumpir las operaciones de la botnet eliminando un punto central de control.
La arquitectura basada en Kademlia de KadNap también ayuda a anonimizar el tráfico que fluye a través de los enrutadores infectados, lo que dificulta rastrear el origen de las actividades de ciberdelito hasta los operadores de la botnet. Esto convierte a la botnet en un recurso valioso para una amplia gama de actividades ilícitas en línea, desde spam y ataques DDoS hasta alojamiento de sitios de phishing y otro contenido malicioso.
Según Formosa, la botnet KadNap se destaca entre otras amenazas de malware debido a su escala, resistencia y la sofisticación de su arquitectura subyacente. Los investigadores de Black Lotus Labs continúan monitoreando las actividades de la botnet y trabajando con socios de la industria para mitigar la amenaza que representa.
Fuente: Ars Technica
