Malware KadNap
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nově se objevující kmen malwaru známý jako KadNap, který primárně cílí na routery Asus a verbuje je do botnetu určeného k proxy škodlivého internetového provozu. Malware, který byl poprvé pozorován v srpnu 2025, již infikoval více než 14 000 zařízení po celém světě. Analýza ukazuje, že více než 60 % napadených systémů se nachází ve Spojených státech, zatímco menší skupiny infekcí byly zjištěny na Tchaj-wanu, v Hongkongu, Rusku, Spojeném království, Austrálii, Brazílii, Francii, Itálii a Španělsku.
Ačkoli se zdá, že primárním cílem jsou routery Asus, vyšetřování ukazuje, že provozovatelé stojící za KadNap rozšířili své úsilí o širší škálu edge networkingových zařízení. Toto rozšíření naznačuje záměrný pokus maximalizovat velikost a odolnost infrastruktury botnetu.
Obsah
Peer-to-peer utajování pomocí technologie Kademlia
Charakteristickým rysem operace KadNap je její závislost na upravené implementaci protokolu Kademlia Distributed Hash Table (DHT). Tento protokol je integrován do peer-to-peer architektury, která skrývá umístění infrastruktury botnetu skrytím velitelských systémů v distribuovaných uzlech.
Napadená zařízení komunikují prostřednictvím sítě DHT, aby objevila a připojila se k serverům Command-and-Control (C2). Rozptýlením komunikace v decentralizovaném prostředí se malware vyhýbá závislosti na jediném bodu infrastruktury, což výrazně komplikuje tradiční snahy o detekci a odstraňování škod. Tento přístup efektivně propojuje škodlivý provoz s legitimní aktivitou v peer-to-peer síti, což obráncům značně ztěžuje monitorování a narušení.
Mechanismus infekce a strategie perzistence
Řetězec infekce začíná skriptem s názvem aic.sh, který je stažen z příkazového serveru hostovaného na IP adrese 212.104.141.140. Tento skript zahájí proces integrace napadeného zařízení do peer-to-peer ekosystému botnetu.
Skript zajistí perzistenci vytvořením naplánované cron úlohy, která načítá stejný skript v 55. minutě každé hodiny. Pokaždé, když je skript stažen, je přejmenován na '.asusrouter' a spuštěn. Jakmile je perzistence zabezpečena, skript stáhne škodlivý binární soubor ELF, přejmenuje ho na kad a spustí ho, čímž efektivně nasadí malware KadNap. Malware byl navržen tak, aby fungoval na zařízeních s procesory ARM i MIPS, což mu umožňuje kompromitovat širokou škálu architektur routerů.
Časově založené vyhledávání vzájemných partnerů a koordinace sítě
KadNap obsahuje mechanismus pro synchronizaci aktivity v rámci své decentralizované sítě. Malware se připojuje k serveru NTP (Network Time Protocol), aby získal aktuální systémový čas a kombinoval ho s informacemi o provozuschopnosti infikovaného zařízení. Tyto hodnoty se používají ke generování hashe, který pomáhá infikovanému zařízení lokalizovat uzly v distribuované síti.
Tento proces umožňuje napadeným systémům objevovat další uzly, získávat instrukce a stahovat další škodlivé soubory, aniž by se musely spoléhat na centralizovanou strukturu příkazů. Podpůrné skripty, jako jsou fwr.sh a /tmp/.sose, také provádějí další úkoly, včetně deaktivace portu 22, standardního TCP portu používaného protokolem Secure Shell (SSH), a extrahování seznamů kombinací adres a portů serverů C2 používaných pro další komunikaci.
Komercializace botnetu prostřednictvím proxy služeb
Jakmile jsou routery napadeny, jsou integrovány do komerční proxy sítě, která je prodávána pod názvem Doppelgänger prostřednictvím webových stránek doppelganger.shop. Bezpečnostní experti hodnotí tuto službu jako přejmenovanou verzi Faceless, proxy platformy dříve spojované s malwarem TheMoon.
Podle propagačních materiálů zveřejněných službou síť poskytuje rezidenční proxy přístup ve více než 50 zemích a propaguje „100% anonymitu“ pro uživatele. Důkazy naznačují, že platforma byla spuštěna kolem května nebo června 2025. Infrastruktura segmentuje infikovaná zařízení podle typu a modelu, protože ne každé napadené zařízení komunikuje s každým řídicím serverem. Tato segmentace naznačuje strukturovanou a škálovatelnou strategii správy botnetů.
Proxy síť již byla pozorována u více aktérů hrozby. Určení její atribuce však zůstává obtížné, protože routery zapojené do sítě jsou někdy současně infikovány dalšími rodinami malwaru, což zakrývá, který aktér je zodpovědný za konkrétní škodlivé aktivity.
Obranná opatření pro majitele routerů
Vzestup KadNap zdůrazňuje rostoucí riziko, které představují špatně zabezpečená okrajová zařízení v domácím i malém kancelářském prostředí. Obránci sítě a individuální uživatelé mohou výrazně snížit riziko přijetím několika bezpečnostních postupů:
- Udržujte routery a síťová zařízení s nejnovějším firmwarem a bezpečnostními aktualizacemi.
- Pravidelně restartujte zařízení, abyste v případě potřeby vymazali dočasné škodlivé procesy.
- Nahraďte výchozí přihlašovací údaje silnými a jedinečnými hesly.
- Omezte a zabezpečte rozhraní pro správu.
- Vyřaďte a vyměňte routery, které dosáhly konce své životnosti a již nedostávají aktualizace zabezpečení od dodavatele.
Decentralizovaný botnet navržený pro nenápadnost
KadNap se odlišuje od mnoha tradičních botnetů, které podporují anonymní proxy služby, používáním decentralizované peer-to-peer architektury. Využitím protokolu Kademlia DHT botnet distribuuje kontrolu mezi infikovaná zařízení, místo aby se spoléhal na snadno identifikovatelné centralizované servery.
Tato architektura poskytuje operátorům odolné komunikační kanály, které je výrazně obtížnější odhalit, zablokovat nebo zneškodnit. Strategický cíl je jasný: udržet provozní kontinuitu, vyhnout se bezpečnostnímu monitorování a zkomplikovat obranné reakce týmů kybernetické bezpečnosti.
