KadNap मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने KadNap नामक एक नए मैलवेयर स्ट्रेन की पहचान की है, जो मुख्य रूप से Asus राउटरों को निशाना बनाता है और उन्हें दुर्भावनापूर्ण इंटरनेट ट्रैफ़िक को प्रॉक्सी करने के लिए डिज़ाइन किए गए बॉटनेट में शामिल करता है। अगस्त 2025 में पहली बार सामने आए इस मैलवेयर ने दुनिया भर में 14,000 से अधिक उपकरणों को संक्रमित कर दिया है। विश्लेषण से पता चलता है कि प्रभावित प्रणालियों में से 60% से अधिक संयुक्त राज्य अमेरिका में स्थित हैं, जबकि ताइवान, हांगकांग, रूस, यूनाइटेड किंगडम, ऑस्ट्रेलिया, ब्राजील, फ्रांस, इटली और स्पेन में भी संक्रमण के छोटे समूह पाए गए हैं।

हालांकि आसुस राउटर मुख्य लक्ष्य प्रतीत होते हैं, लेकिन जांच से पता चलता है कि कैडनैप के संचालकों ने अपने प्रयासों का विस्तार करते हुए एज नेटवर्किंग उपकरणों की एक विस्तृत श्रृंखला को भी शामिल कर लिया है। यह विस्तार बॉटनेट इंफ्रास्ट्रक्चर के आकार और मजबूती को अधिकतम करने के जानबूझकर किए गए प्रयास का संकेत देता है।

काडेमलिया तकनीक के माध्यम से पीयर-टू-पीयर गोपनीयता

KadNap ऑपरेशन की एक प्रमुख विशेषता Kademlia डिस्ट्रीब्यूटेड हैश टेबल (DHT) प्रोटोकॉल के संशोधित कार्यान्वयन पर इसकी निर्भरता है। यह प्रोटोकॉल एक पीयर-टू-पीयर आर्किटेक्चर में एकीकृत है जो वितरित नोड्स के भीतर कमांड सिस्टम को छिपाकर बॉटनेट के बुनियादी ढांचे के स्थान को छुपाता है।

प्रभावित डिवाइस कमांड-एंड-कंट्रोल (C2) सर्वरों का पता लगाने और उनसे जुड़ने के लिए DHT नेटवर्क के माध्यम से संचार करते हैं। विकेन्द्रीकृत वातावरण में संचार को फैलाकर, मैलवेयर किसी एक बुनियादी ढांचे पर निर्भरता से बचता है, जिससे पारंपरिक पहचान और रोकथाम के प्रयास काफी जटिल हो जाते हैं। यह तरीका दुर्भावनापूर्ण ट्रैफ़िक को वैध पीयर-टू-पीयर नेटवर्क गतिविधि में प्रभावी ढंग से मिला देता है, जिससे सुरक्षाकर्मियों के लिए निगरानी और व्यवधान उत्पन्न करना काफी मुश्किल हो जाता है।

संक्रमण की क्रियाविधि और निरंतरता रणनीति

संक्रमण की शुरुआत aic.sh नामक एक शेल स्क्रिप्ट से होती है, जिसे 212.104.141.140 आईपी पते पर होस्ट किए गए कमांड सर्वर से डाउनलोड किया जाता है। यह स्क्रिप्ट प्रभावित डिवाइस को बॉटनेट के पीयर-टू-पीयर इकोसिस्टम में एकीकृत करने की प्रक्रिया शुरू करती है।

यह स्क्रिप्ट एक निर्धारित क्रॉन जॉब बनाकर निरंतरता स्थापित करती है, जो हर घंटे के 55 मिनट पर उसी स्क्रिप्ट को डाउनलोड करती है। हर बार डाउनलोड होने पर, स्क्रिप्ट का नाम बदलकर '.asusrouter' कर दिया जाता है और उसे चलाया जाता है। निरंतरता सुनिश्चित होने के बाद, स्क्रिप्ट एक दुर्भावनापूर्ण ELF बाइनरी डाउनलोड करती है, उसका नाम बदलकर kad कर देती है और उसे चलाती है, जिससे KadNap मैलवेयर का पेलोड प्रभावी रूप से फैल जाता है। इस मैलवेयर को ARM और MIPS दोनों प्रोसेसर वाले उपकरणों पर काम करने के लिए डिज़ाइन किया गया है, जिससे यह कई प्रकार के राउटर आर्किटेक्चर को प्रभावित कर सकता है।

समय-आधारित सहकर्मी खोज और नेटवर्क समन्वय

KadNap अपने विकेन्द्रीकृत नेटवर्क पर गतिविधि को सिंक्रनाइज़ करने के लिए एक तंत्र का उपयोग करता है। यह मैलवेयर नेटवर्क टाइम प्रोटोकॉल (NTP) सर्वर से जुड़कर वर्तमान सिस्टम समय प्राप्त करता है और इसे संक्रमित डिवाइस की अपटाइम जानकारी के साथ जोड़ता है। इन मानों का उपयोग एक हैश उत्पन्न करने के लिए किया जाता है जो संक्रमित डिवाइस को वितरित नेटवर्क के भीतर समकक्षों का पता लगाने में मदद करता है।

इस प्रक्रिया से प्रभावित सिस्टम केंद्रीकृत कमांड संरचना पर निर्भर हुए बिना अन्य नोड्स का पता लगा सकते हैं, निर्देश प्राप्त कर सकते हैं और अतिरिक्त दुर्भावनापूर्ण फ़ाइलें डाउनलोड कर सकते हैं। fwr.sh और /tmp/.sose जैसी सहायक स्क्रिप्ट अतिरिक्त कार्य भी करती हैं, जिनमें सिक्योर शेल (SSH) द्वारा उपयोग किए जाने वाले मानक TCP पोर्ट 22 को निष्क्रिय करना और आगे के संचार के लिए उपयोग किए जाने वाले C2 सर्वर पते और पोर्ट संयोजनों की सूची निकालना शामिल है।

प्रॉक्सी सेवाओं के माध्यम से बॉटनेट का व्यावसायीकरण

एक बार राउटर हैक हो जाने के बाद, उन्हें doppelgänger.shop वेबसाइट के माध्यम से Doppelgänger नाम से बेचे जाने वाले एक व्यावसायिक प्रॉक्सी नेटवर्क में एकीकृत कर दिया जाता है। सुरक्षा शोधकर्ताओं का मानना है कि यह सेवा Faceless का ही नया रूप है, जो एक प्रॉक्सी प्लेटफॉर्म है और पहले TheMoon मैलवेयर से जुड़ा हुआ था।

सेवा द्वारा प्रकाशित प्रचार सामग्री के अनुसार, यह नेटवर्क 50 से अधिक देशों में आवासीय प्रॉक्सी एक्सेस प्रदान करता है और उपयोगकर्ताओं के लिए '100% गुमनामी' का दावा करता है। साक्ष्य बताते हैं कि यह प्लेटफॉर्म मई या जून 2025 के आसपास लॉन्च किया गया था। बुनियादी ढांचा संक्रमित उपकरणों को प्रकार और मॉडल के आधार पर विभाजित करता है, क्योंकि हर प्रभावित उपकरण हर कमांड सर्वर से संचार नहीं करता है। यह विभाजन एक संरचित और स्केलेबल बॉटनेट प्रबंधन रणनीति को दर्शाता है।

प्रॉक्सी नेटवर्क का कई हमलावरों द्वारा दुरुपयोग होते देखा गया है। हालांकि, यह पता लगाना मुश्किल है कि कौन सा हमलावर विशिष्ट दुर्भावनापूर्ण गतिविधियों के लिए जिम्मेदार है, क्योंकि नेटवर्क में शामिल राउटर कभी-कभी एक साथ कई अन्य मैलवेयर से संक्रमित हो जाते हैं, जिससे यह स्पष्ट नहीं हो पाता कि कौन सा हमलावर इसके लिए जिम्मेदार है।

राउटर मालिकों के लिए सुरक्षात्मक उपाय

KadNap का उदय घरेलू और छोटे कार्यालयों दोनों ही वातावरणों में असुरक्षित एज डिवाइसों से उत्पन्न बढ़ते जोखिम को उजागर करता है। नेटवर्क रक्षक और व्यक्तिगत उपयोगकर्ता कई सुरक्षा उपायों को अपनाकर जोखिम को काफी हद तक कम कर सकते हैं:

• राउटर और नेटवर्किंग उपकरणों को नवीनतम फर्मवेयर और सुरक्षा अपडेट के साथ अपडेट रखें।
• आवश्यकता पड़ने पर, अस्थायी दुर्भावनापूर्ण प्रक्रियाओं को हटाने के लिए समय-समय पर उपकरणों को रीबूट करें।
• डिफ़ॉल्ट क्रेडेंशियल्स को मजबूत, अद्वितीय पासवर्ड से बदलें।
• प्रशासनिक प्रबंधन इंटरफेस को प्रतिबंधित और सुरक्षित करें।
• उन राउटरों को हटा दें और उनकी जगह नए राउटर लगा दें जिनका जीवनकाल समाप्त हो चुका है और जिन्हें अब विक्रेता द्वारा जारी सुरक्षा अपडेट नहीं मिलते हैं।

गुप्त रूप से काम करने के लिए डिज़ाइन किया गया एक विकेन्द्रीकृत बॉटनेट

KadNap, गुमनाम प्रॉक्सी सेवाओं का समर्थन करने वाले कई पारंपरिक बॉटनेट्स से अपनी विकेंद्रीकृत पीयर-टू-पीयर आर्किटेक्चर के उपयोग के माध्यम से अलग पहचान बनाता है। Kademlia DHT प्रोटोकॉल का लाभ उठाकर, यह बॉटनेट आसानी से पहचाने जाने वाले केंद्रीकृत सर्वरों पर निर्भर रहने के बजाय संक्रमित उपकरणों में नियंत्रण वितरित करता है।

यह आर्किटेक्चर ऑपरेटरों को ऐसे मजबूत संचार चैनल प्रदान करता है जिन्हें पहचानना, ब्लॉक करना या निष्क्रिय करना काफी कठिन है। रणनीतिक लक्ष्य स्पष्ट है: परिचालन निरंतरता बनाए रखना, सुरक्षा निगरानी से बचना और साइबर सुरक्षा टीमों के लिए रक्षात्मक प्रतिक्रिया प्रयासों को जटिल बनाना।