Тысячи маршрутизаторов заражены устойчивым ботнетом на базе Kademlia
Исследователи обнаружили бот-сеть маршрутизаторов Asus, насчитывающую 14 000 человек, которая использует протокол Kademlia для противодействия атакам и усиления киберпреступной деятельности.
Исследователи обнаружили устойчивый к взлому ботнет, состоящий из 14 000 маршрутизаторов и других сетевых устройств (в основном производства Asus), которые были включены в прокси-сеть, используемую для киберпреступлений.
По словам Криса Формозы, исследователя охранной фирмы Lumen's Black Lotus Labs, вредоносное ПО, получившее название KadNap, использует уязвимости, которые не были исправлены их владельцами. Высокая концентрация маршрутизаторов Asus, вероятно, связана с тем, что операторы ботнетов получили надежный эксплойт для уязвимостей, затрагивающих эти модели, хотя Формоза заявил, что маловероятно, что злоумышленники используют в своей операции какие-либо нулевые дни.
Количество зараженных маршрутизаторов в среднем составляет около 14 000 в день по сравнению с 10 000 в августе прошлого года, когда компания Black Lotus обнаружила ботнет. Подавляющее большинство взломанных устройств находится в США, меньшее количество – в Тайване, Гонконге и России.
Одной из наиболее характерных особенностей KadNap является сложная одноранговая конструкция, основанная на Kademlia, сетевой структуре, использующей распределенные хеш-таблицы для сокрытия IP-адресов серверов управления и контроля. Такая конструкция делает ботнет устойчивым к обнаружению и удалению традиционными методами.
Kademlia — это децентрализованный одноранговый протокол, который позволяет ботнету функционировать, не полагаясь на центральный сервер управления и контроля. Из-за этого исследователям безопасности и правоохранительным органам становится намного сложнее нарушить работу ботнета путем отключения центральной точки контроля.
Архитектура KadNap на основе Kademlia также помогает анонимизировать трафик, проходящий через зараженные маршрутизаторы, что затрудняет отслеживание происхождения киберпреступной деятельности до операторов ботнета. Это делает ботнет ценным ресурсом для широкого спектра незаконных действий в Интернете: от спама и DDoS-атак до размещения фишинговых сайтов и другого вредоносного контента.
По мнению компании Formosa, ботнет KadNap выделяется среди других вредоносных угроз благодаря своему масштабу, устойчивости и сложности базовой архитектуры. Исследователи Black Lotus Labs продолжают следить за деятельностью ботнета и работать с отраслевыми партнерами над снижением угрозы, которую он представляет.
Источник: Ars Technica
