Binlerce Yönlendiriciye Dayanıklı Kademlia Tabanlı Botnet Etkilendi
Araştırmacılar, kaldırmalara direnmek ve siber suç faaliyetlerini güçlendirmek için Kademlia protokolünü kullanan 14.000 güçlü Asus yönlendirici botnet'i keşfetti.
Araştırmacılar, siber suçlar için kullanılan bir proxy ağına dahil edilmiş, esasen Asus tarafından yapılmış olan, 14.000 yönlendirici ve diğer ağ cihazından oluşan, yayından kaldırılmaya karşı dayanıklı bir botnet ortaya çıkardı.
KadNap olarak adlandırılan kötü amaçlı yazılım, Lumen's Black Lotus Labs güvenlik firmasında araştırmacı olan Chris Formosa'ya göre sahipleri tarafından yamalanmayan güvenlik açıklarından yararlanarak yayılıyor. Asus yönlendiricilerindeki yüksek yoğunluk büyük ihtimalle botnet operatörlerinin bu modelleri etkileyen güvenlik açıklarından güvenilir bir şekilde yararlanmasına bağlı. Ancak Formosa, saldırganların operasyonda herhangi bir sıfır gün kullanma ihtimalinin düşük olduğunu söyledi.
Enfekte olmuş yönlendiricilerin sayısı günlük ortalama 14.000'e ulaştı; geçen Ağustos ayında Black Lotus botnet'i keşfettiğinde bu sayı 10.000'di. Güvenliği ihlal edilen cihazların büyük çoğunluğu ABD'de bulunurken, Tayvan, Hong Kong ve Rusya'da daha az nüfus bulunmaktadır.
KadNap'in en göze çarpan özelliklerinden biri, komuta ve kontrol sunucularının IP adreslerini gizlemek için dağıtılmış karma tabloları kullanan bir ağ yapısı olan Kademlia'yı temel alan gelişmiş eşler arası tasarımıdır. Bu tasarım, botnet'i geleneksel yöntemlerle tespit edilmeye ve yayından kaldırılmaya karşı dayanıklı hale getirir.
Kademlia, botnet'in merkezi bir komuta ve kontrol sunucusuna bağımlı olmadan çalışmasına olanak tanıyan, merkezi olmayan, eşler arası bir protokoldür. Bu, güvenlik araştırmacılarının ve emniyet teşkilatının merkezi bir kontrol noktasını devre dışı bırakarak botnet operasyonlarını aksatmasını çok daha zorlaştırıyor.
Kademlia tabanlı KadNap mimarisi, virüs bulaşmış yönlendiriciler üzerinden akan trafiğin anonimleştirilmesine de yardımcı oluyor ve siber suç faaliyetlerinin kökeninin botnet operatörlerine kadar izlenmesini zorlaştırıyor. Bu, botnet'i spam ve DDoS saldırılarından kimlik avı sitelerini barındırmaya ve diğer kötü amaçlı içeriğe kadar çok çeşitli yasa dışı çevrimiçi etkinlikler için değerli bir kaynak haline getirir.
Formosa'ya göre KadNap botnet, ölçeği, dayanıklılığı ve temel mimarisinin karmaşıklığı nedeniyle diğer kötü amaçlı yazılım tehditleri arasında öne çıkıyor. Black Lotus Laboratuvarlarındaki araştırmacılar, botnet'in faaliyetlerini izlemeye ve oluşturduğu tehdidi azaltmak için sektör ortaklarıyla birlikte çalışmaya devam ediyor.
Kaynak: Ars Technica
