KadNap zlonamjerni softver
Istraživači kibernetičke sigurnosti identificirali su novonastali soj zlonamjernog softvera poznat kao KadNap, koji prvenstveno cilja Asusove usmjerivače i regrutira ih u botnet dizajniran za proxy zlonamjernog internetskog prometa. Prvi put uočen u kolovozu 2025., zlonamjerni softver već je zarazio više od 14 000 uređaja diljem svijeta. Analiza pokazuje da se preko 60% kompromitiranih sustava nalazi u Sjedinjenim Državama, dok su manji klasteri infekcija otkriveni u Tajvanu, Hong Kongu, Rusiji, Ujedinjenom Kraljevstvu, Australiji, Brazilu, Francuskoj, Italiji i Španjolskoj.
Iako se čini da su Asusovi usmjerivači primarne mete, istrage pokazuju da su operateri koji stoje iza KadNapa proširili svoje napore kako bi uključili širi raspon uređaja za rubne mreže. Ovo proširenje sugerira namjerni pokušaj maksimiziranja veličine i otpornosti infrastrukture botneta.
Sadržaj
Prikrivanje od strane ravnopravnih osoba putem Kademlia tehnologije
Ključna značajka KadNap operacije je oslanjanje na modificiranu implementaciju Kademlia Distributed Hash Table (DHT) protokola. Ovaj protokol je integriran u peer-to-peer arhitekturu koja prikriva lokaciju infrastrukture botneta skrivanjem naredbenih sustava unutar distribuiranih čvorova.
Kompromitirani uređaji komuniciraju putem DHT mreže kako bi otkrili i povezali se s Command-and-Control (C2) poslužiteljima. Raspršivanjem komunikacije po decentraliziranom okruženju, zlonamjerni softver izbjegava oslanjanje na jednu infrastrukturnu točku, što značajno komplicira tradicionalne napore otkrivanja i uklanjanja. Pristup učinkovito spaja zlonamjerni promet u legitimnu aktivnost peer-to-peer mreže, što braniteljima znatno otežava praćenje i ometanje.
Mehanizam infekcije i strategija perzistencije
Lanac infekcije započinje shell skriptom pod nazivom aic.sh, koja se preuzima s naredbenog poslužitelja smještenog na IP adresi 212.104.141.140. Ova skripta pokreće proces integracije kompromitiranog uređaja u peer-to-peer ekosustav botneta.
Skripta uspostavlja perzistentnost stvaranjem zakazanog cron zadatka koji dohvaća istu skriptu u 55. minuti svakog sata. Svaki put kada se preuzme, skripta se preimenuje u '.asusrouter' i izvršava. Nakon što je perzistentnost osigurana, skripta preuzima zlonamjernu ELF binarnu datoteku, preimenuje je u kad i pokreće je, učinkovito implementirajući KadNap zlonamjerni softver. Zlonamjerni softver je dizajniran za rad na uređajima koji koriste i ARM i MIPS procesore, što mu omogućuje kompromitiranje širokog raspona arhitektura usmjerivača.
Vremenski temeljeno otkrivanje vršnjaka i koordinacija mreže
KadNap uključuje mehanizam za sinkronizaciju aktivnosti na svojoj decentraliziranoj mreži. Zlonamjerni softver povezuje se s NTP (Network Time Protocol) poslužiteljem kako bi dohvatio trenutno vrijeme sustava i kombinira ga s informacijama o vremenu rada zaraženog uređaja. Te se vrijednosti koriste za generiranje hash-a koji pomaže zaraženom uređaju da pronađe peer-ove unutar distribuirane mreže.
Ovaj proces omogućuje kompromitiranim sustavima otkrivanje drugih čvorova, dobivanje uputa i preuzimanje dodatnih zlonamjernih datoteka bez oslanjanja na centraliziranu strukturu naredbi. Potporne skripte poput fwr.sh i /tmp/.sose također obavljaju dodatne zadatke, uključujući onemogućavanje porta 22, standardnog TCP porta koji koristi Secure Shell (SSH), i izdvajanje popisa kombinacija adresa i portova C2 poslužitelja koje se koriste za daljnju komunikaciju.
Komercijalizacija botneta putem proxy usluga
Nakon što su usmjerivači kompromitirani, integriraju se u komercijalnu proxy mrežu koja se prodaje pod nazivom Doppelgänger putem web stranice doppelganger.shop. Sigurnosni istraživači procjenjuju da je ova usluga preimenovana verzija Faceless-a, proxy platforme koja je prethodno bila povezana sa zlonamjernim softverom TheMoon.
Prema promotivnim materijalima koje je objavila usluga, mreža pruža stambeni proxy pristup u više od 50 zemalja i oglašava '100% anonimnost' za korisnike. Dokazi upućuju na to da je platforma pokrenuta oko svibnja ili lipnja 2025. Infrastruktura segmentira zaražene uređaje prema vrsti i modelu, budući da ne komunicira svaki kompromitirani uređaj sa svakim naredbenim poslužiteljem. Ova segmentacija ukazuje na strukturiranu i skalabilnu strategiju upravljanja botnet mrežom.
Već je uočeno da više prijetnji iskorištava proxy mrežu. Međutim, atribucija ostaje teška jer su usmjerivači uključeni u mrežu ponekad istovremeno zaraženi dodatnim obiteljima zlonamjernog softvera, što prikriva koji je akter odgovoran za određene zlonamjerne aktivnosti.
Obrambene mjere za vlasnike rutera
Uspon KadNapa naglašava rastući rizik koji predstavljaju slabo osigurani rubni uređaji u kućnim i malim uredskim okruženjima. Mrežni branitelji i pojedinačni korisnici mogu značajno smanjiti izloženost primjenom nekoliko sigurnosnih praksi:
- Održavajte usmjerivače i mrežne uređaje najnovijim firmverskim ažuriranjima i sigurnosnim ažuriranjima.
- Povremeno ponovno pokrenite uređaje kako biste po potrebi izbrisali privremene zlonamjerne procese.
- Zamijenite zadane vjerodajnice jakim, jedinstvenim lozinkama.
- Ograničite i osigurajte administrativna sučelja za upravljanje.
- Ukinite i zamijenite usmjerivače koji su dosegli kraj životnog vijeka i više ne primaju sigurnosna ažuriranja dobavljača.
Decentralizirani botnet dizajniran za prikrivanje
KadNap se razlikuje od mnogih tradicionalnih botneta koji podržavaju anonimne proxy usluge korištenjem decentralizirane peer-to-peer arhitekture. Iskorištavanjem Kademlia DHT protokola, botnet distribuira kontrolu među zaraženim uređajima umjesto da se oslanja na lako prepoznatljive centralizirane poslužitelje.
Ova arhitektura pruža operaterima otporne komunikacijske kanale koje je znatno teže otkriti, blokirati ili rastaviti. Strateški cilj je jasan: održati operativni kontinuitet, izbjeći sigurnosni nadzor i zakomplicirati obrambene napore timova za kibernetičku sigurnost.
