KadNap-haittaohjelma
Kyberturvallisuustutkijat ovat tunnistaneet uuden haittaohjelmakannan nimeltä KadNap, joka kohdistuu ensisijaisesti Asus-reitittimiin ja värvää niitä bottiverkkoon, jonka tarkoituksena on välittää haitallista internet-liikennettä. Haittaohjelma havaittiin ensimmäisen kerran luonnossa elokuussa 2025, ja se on jo tartuttanut yli 14 000 laitetta maailmanlaajuisesti. Analyysit osoittavat, että yli 60 % tartunnan saaneista järjestelmistä sijaitsee Yhdysvalloissa, kun taas pienempiä tartuntaryppäitä on havaittu Taiwanissa, Hongkongissa, Venäjällä, Isossa-Britanniassa, Australiassa, Brasiliassa, Ranskassa, Italiassa ja Espanjassa.
Vaikka Asus-reitittimet näyttävät olevan ensisijaisia kohteita, tutkimukset osoittavat, että KadNapin takana olevat operaattorit ovat laajentaneet toimintaansa kattamaan laajemman valikoiman reunaverkkolaitteita. Tämä laajennus viittaa tietoiseen pyrkimykseen maksimoida bottiverkkoinfrastruktuurin koko ja sietokyky.
Sisällysluettelo
Vertaisverkon salaaminen Kademlia-teknologian avulla
KadNap-operaation tyypillinen piirre on sen käyttö Kademlia Distributed Hash Table (DHT) -protokollan muunnellussa toteutuksessa. Tämä protokolla on integroitu vertaisverkkoarkkitehtuuriin, joka piilottaa botnetin infrastruktuurin sijainnin piilottamalla komentojärjestelmät hajautettujen solmujen sisään.
Vaarantuneet laitteet kommunikoivat DHT-verkon kautta löytääkseen ja muodostaakseen yhteyden komento- ja hallintapalvelimiin (C2). Hajauttamalla tiedonsiirron hajautettuun ympäristöön haittaohjelma välttää riippuvuuden yhdestä infrastruktuuripisteestä, mikä vaikeuttaa merkittävästi perinteisiä havaitsemis- ja poistotoimia. Lähestymistapa yhdistää tehokkaasti haitallisen liikenteen lailliseen vertaisverkon toimintaan, mikä vaikeuttaa valvontaa ja häirintää huomattavasti puolustajille.
Infektiomekanismi ja pysyvyysstrategia
Tartuntaketju alkaa aic.sh-nimisellä komentosarjalla, joka ladataan IP-osoitteessa 212.104.141.140 sijaitsevalta komentopalvelimelta. Tämä komentosarja käynnistää prosessin, jossa vaarantunut laite integroidaan botnetin vertaisverkkoon.
Skripti varmistaa pysyvyyden luomalla ajoitetun cron-työn, joka hakee saman skriptin joka tunnin 55 minuutin kohdalla. Joka kerta, kun se ladataan, skriptin nimi muutetaan muotoon '.asusrouter' ja se suoritetaan. Kun pysyvyys on varmistettu, skripti lataa haitallisen ELF-binääritiedoston, nimeää sen uudelleen nimellä 'kad' ja suorittaa sen, tehokkaasti hyödyntäen KadNap-haittaohjelman hyötykuormaa. Haittaohjelma on suunniteltu toimimaan sekä ARM- että MIPS-prosessoreita käyttävissä laitteissa, minkä ansiosta se voi vaarantaa useita reititinarkkitehtuureja.
Aikaperusteinen vertaistietojen etsintä ja verkon koordinointi
KadNap sisältää mekanismin toiminnan synkronointiin hajautetussa verkossaan. Haittaohjelma muodostaa yhteyden Network Time Protocol (NTP) -palvelimeen hakeakseen nykyisen järjestelmäajan ja yhdistää sen tartunnan saaneen laitteen käyttöaikatietoihin. Näitä arvoja käytetään hajautusarvon luomiseen, joka auttaa tartunnan saanutta laitetta paikantamaan vertaiskoneita hajautetussa verkossa.
Tämä prosessi mahdollistaa vaarantuneiden järjestelmien löytää muita solmuja, hankkia ohjeita ja ladata lisää haitallisia tiedostoja ilman keskitettyä komentorakennetta. Tukikomentosarjat, kuten fwr.sh ja /tmp/.sose, suorittavat myös lisätehtäviä, kuten portin 22, Secure Shellin (SSH) käyttämän TCP-vakioportin, poistamisen käytöstä ja C2-palvelimen osoite- ja porttiyhdistelmien luetteloiden poimimisen, joita käytetään jatkokommunikaatiossa.
Botnetin kaupallistaminen välityspalveluiden kautta
Kun reitittimiin on murtauduttu, ne integroidaan kaupalliseen välityspalvelinverkkoon, jota markkinoidaan nimellä Doppelgänger doppelganger.shop-verkkosivuston kautta. Tietoturvatutkijat arvioivat tämän palvelun olevan uudelleenbrändätty versio Faceless-välityspalvelinalustasta, joka aiemmin yhdistettiin TheMoon-haittaohjelmaan.
Palvelun julkaiseman mainosmateriaalin mukaan verkko tarjoaa asuinkäyttöön tarkoitetun välityspalvelimen yli 50 maassa ja mainostaa käyttäjille "100 %:n anonymiteettiä". Tiedot viittaavat siihen, että alusta lanseerattiin touko- tai kesäkuun 2025 tienoilla. Infrastruktuuri segmentoi tartunnan saaneet laitteet tyypin ja mallin mukaan, koska kaikki vaarantuneet laitteet eivät kommunikoi jokaisen komentopalvelimen kanssa. Tämä segmentointi viittaa jäsenneltyyn ja skaalautuvaan bottiverkkojen hallintastrategiaan.
Välityspalvelinverkon on jo havaittu toimivan useiden uhkatoimijoiden toimesta. Haittaohjelmien tunnistaminen on kuitenkin edelleen vaikeaa, koska verkkoon liittyvät reitittimet ovat joskus samanaikaisesti saaneet useita haittaohjelmaperheitä, mikä hämärtää, mikä toimija on vastuussa tietystä haitallisesta toiminnasta.
Puolustustoimenpiteet reitittimien omistajille
KadNapin nousu korostaa huonosti suojattujen reunalaitteiden aiheuttamaa kasvavaa riskiä sekä koti- että pientoimistoympäristöissä. Verkkojen puolustajat ja yksittäiset käyttäjät voivat merkittävästi vähentää altistumista omaksumalla useita tietoturvakäytäntöjä:
- Pidä reitittimet ja verkkolaitteet ajan tasalla uusimmilla laiteohjelmisto- ja tietoturvapäivityksillä.
- Käynnistä laitteet säännöllisesti uudelleen poistaaksesi tilapäiset haitalliset prosessit tarvittaessa.
- Korvaa oletusarvoiset tunnistetiedot vahvoilla ja yksilöllisillä salasanoilla.
- Rajoita ja suojaa hallinnollisia käyttöliittymiä.
- Poista käytöstä ja vaihda reitittimet, jotka ovat saavuttaneet käyttöikänsä lopun eivätkä enää saa toimittajan tietoturvapäivityksiä.
Hajautettu bottiverkko, joka on suunniteltu piilotoimintaan
KadNap eroaa monista perinteisistä botnet-verkoista, jotka tukevat anonyymejä välityspalveluita, hajautetun vertaisverkon arkkitehtuurinsa ansiosta. Hyödyntämällä Kademlia DHT -protokollaa botnet jakaa hallinnan tartunnan saaneiden laitteiden kesken sen sijaan, että se olisi riippuvainen helposti tunnistettavista keskitetyistä palvelimista.
Tämä arkkitehtuuri tarjoaa operaattoreille vikasietoiset viestintäkanavat, joita on huomattavasti vaikeampi havaita, estää tai purkaa. Strateginen tavoite on selvä: ylläpitää toiminnan jatkuvuutta, välttää tietoturvavalvontaa ja vaikeuttaa kyberturvallisuustiimien puolustautumistoimia.
