Migliaia di router infettati dalla botnet resiliente basata su Kademlia
I ricercatori scoprono una botnet composta da 14.000 router Asus che sfrutta il protocollo Kademlia per resistere agli attacchi e alimentare le attività di criminalità informatica.
Ricercatori hanno scoperto una botnet resistente al takedown di 14.000 router e altri dispositivi di rete, realizzati principalmente da Asus, che sono stati arruolati in una rete proxy utilizzata per la criminalità informatica.
Il malware, denominato KadNap, prende piede sfruttando le vulnerabilità che non sono state risolte dai proprietari, secondo Chris Formosa, ricercatore presso la società di sicurezza Lumen's Black Lotus Labs. L'elevata concentrazione di router Asus è probabilmente dovuta al fatto che gli operatori botnet hanno acquisito un exploit affidabile per le vulnerabilità che interessano tali modelli, anche se Formosa ha affermato che è improbabile che gli aggressori utilizzino zero-day nell'operazione.
Il numero di router infetti è in media di circa 14.000 al giorno, rispetto ai 10.000 dello scorso agosto, quando Black Lotus scoprì la botnet. I dispositivi compromessi si trovano prevalentemente negli Stati Uniti, con popolazioni più piccole a Taiwan, Hong Kong e Russia.
Una delle caratteristiche più salienti di KadNap è il suo sofisticato design peer-to-peer basato su Kademlia, una struttura di rete che utilizza tabelle hash distribuite per nascondere gli indirizzi IP dei server di comando e controllo. Questo design rende la botnet resistente al rilevamento e alla rimozione tramite metodi tradizionali.
Kademlia è un protocollo peer-to-peer decentralizzato che consente alla botnet di funzionare senza fare affidamento su un server centrale di comando e controllo. Ciò rende molto più difficile per i ricercatori di sicurezza e le forze dell'ordine interrompere le operazioni della botnet eliminando un punto di controllo centrale.
L'architettura basata su Kademlia di KadNap aiuta anche ad anonimizzare il traffico che scorre attraverso i router infetti, rendendo difficile risalire all'origine delle attività di criminalità informatica fino agli operatori della botnet. Ciò rende la botnet una risorsa preziosa per un'ampia gamma di attività online illecite, dallo spam e dagli attacchi DDoS all'hosting di siti di phishing e altri contenuti dannosi.
Secondo Formosa, la botnet KadNap si distingue tra le altre minacce malware per la sua portata, resilienza e per la sofisticatezza della sua architettura sottostante. I ricercatori di Black Lotus Labs continuano a monitorare le attività della botnet e collaborano con i partner del settore per mitigare la minaccia che rappresenta.
Fonte: Ars Technica
