KadNapi pahavara
Küberturvalisuse uurijad on tuvastanud äsja tekkiva pahavara tüve, mida tuntakse kui KadNap ja mis sihib peamiselt Asuse ruutereid ja värbab neid pahatahtliku internetiliikluse vahendamiseks loodud botnetisse. Esmakordselt looduses täheldati pahavara 2025. aasta augustis ning see on juba nakatunud enam kui 14 000 seadmesse kogu maailmas. Analüüs näitab, et üle 60% nakatunud süsteemidest asub Ameerika Ühendriikides, samas kui väiksemaid nakkuskollekte on tuvastatud Taiwanis, Hongkongis, Venemaal, Ühendkuningriigis, Austraalias, Brasiilias, Prantsusmaal, Itaalias ja Hispaanias.
Kuigi peamised sihtmärgid näivad olevat Asuse ruuterid, näitavad uurimised, et KadNapi operaatorid on laiendanud oma jõupingutusi, et kaasata laiemat valikut äärevõrgu seadmeid. See laienemine viitab teadlikule katsele maksimeerida botneti infrastruktuuri suurust ja vastupidavust.
Sisukord
Võrdõigusvõrgu varjamine Kademlia tehnoloogia abil
KadNapi operatsiooni iseloomulikuks tunnuseks on Kademlia Distributed Hash Table (DHT) protokolli modifitseeritud teostus. See protokoll on integreeritud peer-to-peer arhitektuuri, mis varjab botneti infrastruktuuri asukohta, peites juhtimissüsteemid hajutatud sõlmedesse.
Ohustatud seadmed suhtlevad DHT-võrgu kaudu, et avastada ja luua ühendus käsu- ja juhtimisserveritega (C2). Hajutades suhtlust detsentraliseeritud keskkonnas, väldib pahavara sõltuvust ühest infrastruktuuripunktist, mis raskendab oluliselt traditsioonilisi tuvastamis- ja eemaldamispüüdlusi. See lähenemisviis segab pahatahtliku liikluse tõhusalt õigustatud peer-to-peer võrgutegevusega, muutes kaitsjate jaoks jälgimise ja häirimise oluliselt raskemaks.
Nakkusmehhanism ja püsivuse strateegia
Nakatumise ahel algab skriptiga nimega aic.sh, mis laaditakse alla IP-aadressil 212.104.141.140 asuvast käsurea serverist. See skript käivitab nakatunud seadme integreerimise botneti peer-to-peer ökosüsteemi.
Skript loob püsivuse, luues ajastatud cron-töö, mis laadib sama skripti alla iga tunni 55. minuti möödudes. Iga kord, kui see alla laaditakse, nimetatakse skript ümber nimega '.asusrouter' ja käivitatakse. Kui püsivus on tagatud, laadib skript alla pahatahtliku ELF-binaarfaili, nimetab selle ümber nimega kad ja käivitab selle, juurutades sisuliselt KadNapi pahavara koormuse. Pahavara on loodud töötama nii ARM- kui ka MIPS-protsessoreid kasutavates seadmetes, mis võimaldab sellel rikkuda laia valikut ruuteriarhitektuure.
Ajapõhine vastastikuse tuvastamise ja võrgu koordineerimine
KadNap sisaldab mehhanismi tegevuse sünkroonimiseks oma detsentraliseeritud võrgus. Pahavara loob ühenduse võrguajaprotokolli (NTP) serveriga, et hankida praegune süsteemiaeg ja kombineerida see nakatunud seadme tööaja teabega. Neid väärtusi kasutatakse räsi genereerimiseks, mis aitab nakatunud seadmel hajutatud võrgus teisi seadmeid leida.
See protsess võimaldab ohustatud süsteemidel avastada teisi sõlmi, hankida juhiseid ja alla laadida täiendavaid pahatahtlikke faile ilma tsentraliseeritud käskude struktuurile tuginemata. Toetavad skriptid, näiteks fwr.sh ja /tmp/.sose, täidavad ka lisatoiminguid, sealhulgas keelavad pordi 22, mis on Secure Shelli (SSH) poolt kasutatav standardne TCP-port, ja hankivad edasiseks suhtluseks kasutatavate C2-serveri aadressi ja pordi kombinatsioonide loendeid.
Botneti kommertsialiseerimine puhverserveri teenuste kaudu
Kui ruuterid on ohustatud, integreeritakse need kommertslikku puhverserverivõrku, mida turustatakse veebisaidi doppelgänger kaudu nime all Doppelgänger. Turvauurijad hindavad seda teenust Facelessi ümberbränditud versiooniks – see on puhverserveri platvorm, mida varem seostati pahavaraga TheMooniga.
Teenuse avaldatud reklaammaterjalide kohaselt pakub võrk kodukasutajatele puhverserveri juurdepääsu enam kui 50 riigis ja reklaamib kasutajatele „100% anonüümsust“. Tõendid viitavad sellele, et platvorm käivitati 2025. aasta mais või juunis. Taristu segmenteerib nakatunud seadmed tüübi ja mudeli järgi, kuna mitte iga ohustatud seade ei suhtle iga käsuserveriga. See segmenteerimine viitab struktureeritud ja skaleeritavale botnettide haldusstrateegiale.
On juba täheldatud, et mitmed ohutegijad kasutavad ära puhverserveri võrku. Otsuse tegemine on aga keeruline, kuna võrgus osalevad ruuterid nakatatakse mõnikord samaaegselt teiste pahavaraperekondadega, mistõttu jääb ebaselgeks, milline tegija konkreetse pahatahtliku tegevuse eest vastutab.
Ruuteriomanike kaitsemeetmed
KadNapi esiletõus toob esile kasvava ohu, mida kujutavad endast halvasti turvatud servaseadmed nii kodu- kui ka väikekontorikeskkondades. Võrgu kaitsjad ja üksikud kasutajad saavad kokkupuudet märkimisväärselt vähendada, võttes kasutusele mitu turvapraktikat:
- Hoidke ruuterid ja võrguseadmed uusima püsivara ja turvavärskendustega.
- Taaskäivitage seadmed perioodiliselt, et vajadusel ajutisi pahatahtlikke protsesse eemaldada.
- Asendage vaikesätted tugevate ja unikaalsete paroolidega.
- Piirata ja turvata haldusliideseid.
- Eemaldage ja asendage ruuterid, mille eluiga on lõppenud ja mis enam ei saa tootja turvavärskendusi.
Detsentraliseeritud botnet, mis on loodud varjatuks tegevuseks
KadNap eristub paljudest traditsioonilistest anonüümseid puhverserveriteenuseid toetavatest botnetidest oma detsentraliseeritud peer-to-peer arhitektuuri poolest. Kademlia DHT protokolli abil jaotab botnet kontrolli nakatunud seadmete vahel, selle asemel et tugineda kergesti tuvastatavatele tsentraliseeritud serveritele.
See arhitektuur pakub operaatoritele vastupidavaid sidekanaleid, mida on oluliselt raskem tuvastada, blokeerida või lammutada. Strateegiline eesmärk on selge: säilitada tegevuse järjepidevus, vältida turvamonitooringut ja muuta küberturbemeeskondade kaitsemeetmed keerulisemaks.
