Тисячі маршрутизаторів заражені стійким ботнетом на базі Kademlia

Дослідники виявили стійкий до знищення ботнет із 14 000 маршрутизаторів та інших мережевих пристроїв, переважно виробництва Asus, які були включені до проксі-мережі, що використовується для кіберзлочинності.

За словами Кріса Формози, дослідника фірми безпеки Lumen's Black Lotus Labs, шкідливе програмне забезпечення під назвою KadNap поширюється, використовуючи вразливості, які не були виправлені їхніми власниками. Висока концентрація маршрутизаторів Asus, ймовірно, пов’язана з тим, що оператори бот-мережі знайшли надійний експлойт для уразливостей, що впливають на ці моделі, хоча Formosa сказав, що малоймовірно, що зловмисники використовують будь-які нульові дні в операції.

Кількість заражених маршрутизаторів становить у середньому близько 14 000 на день, порівняно з 10 000 у серпні минулого року, коли Black Lotus виявив ботнет. Переважна більшість зламаних пристроїв розташована в США, з меншою кількістю населення в Тайвані, Гонконгу та Росії.

Однією з найвизначніших особливостей KadNap є його складний одноранговий дизайн на основі Kademlia, мережевої структури, яка використовує розподілені хеш-таблиці для приховування IP-адрес адреси командно-адміністративних серверів. Ця конструкція робить ботнет стійким до виявлення та знищення традиційними методами.

Kademlia — це децентралізований одноранговий протокол, який дозволяє ботнету функціонувати, не покладаючись на центральний сервер керування. Це значно ускладнює дослідникам безпеки та правоохоронним органам порушити роботу ботнету, знявши центральну точку контролю.

Архітектура KadNap на основі Kademlia також допомагає анонімізувати трафік, що протікає через заражені маршрутизатори, що ускладнює відстеження походження кіберзлочинної діяльності до операторів ботнету. Це робить ботнет цінним ресурсом для широкого спектру незаконних дій в Інтернеті, від спаму та DDoS-атак до розміщення фішингових сайтів та іншого зловмисного вмісту.

Згідно з Formosa, ботнет KadNap виділяється серед інших загроз зловмисного програмного забезпечення завдяки своєму масштабу, стійкості та складності базової архітектури. Дослідники Black Lotus Labs продовжують стежити за діяльністю ботнету та співпрацюють із галузевими партнерами, щоб зменшити загрозу, яку він становить.