KadNap kártevő
Kiberbiztonsági kutatók azonosítottak egy újonnan felbukkanó rosszindulatú programtörzset, a KadNap-ot, amely elsősorban az Asus routereket veszi célba, és azokat egy olyan botnetbe toborozza, amelyet a rosszindulatú internetes forgalom közvetítésére terveztek. A rosszindulatú programot először 2025 augusztusában figyelték meg, és már több mint 14 000 eszközt fertőzött meg világszerte. Az elemzések azt mutatják, hogy a feltört rendszerek több mint 60%-a az Egyesült Államokban található, míg kisebb fertőzési csoportokat észleltek Tajvanon, Hongkongban, Oroszországban, az Egyesült Királyságban, Ausztráliában, Brazíliában, Franciaországban, Olaszországban és Spanyolországban.
Bár az Asus routerek tűnnek az elsődleges célpontoknak, a vizsgálatok azt mutatják, hogy a KadNap mögött álló üzemeltetők kiterjesztették erőfeszítéseiket, és szélesebb körű peremhálózati eszközöket is bevontak. Ez a bővítés a botnet infrastruktúra méretének és ellenálló képességének maximalizálására irányuló szándékos kísérletre utal.
Tartalomjegyzék
Peer-to-peer titkosítás Kademlia technológiával
A KadNap működésének meghatározó jellemzője, hogy a Kademlia Distributed Hash Table (DHT) protokoll módosított implementációjára támaszkodik. Ez a protokoll egy peer-to-peer architektúrába van integrálva, amely elrejti a botnet infrastruktúrájának helyét azáltal, hogy a parancsrendszereket elosztott csomópontokon belül rejti el.
A feltört eszközök a DHT hálózaton keresztül kommunikálnak, hogy felderítsék és csatlakozzanak a Command-and-Control (C2) szerverekhez. A decentralizált környezetben történő kommunikáció szétszórásával a rosszindulatú program elkerüli az egyetlen infrastrukturális pontra való támaszkodást, ami jelentősen bonyolítja a hagyományos felderítési és eltávolítási erőfeszítéseket. A megközelítés hatékonyan összeolvasztja a rosszindulatú forgalmat a legitim peer-to-peer hálózati tevékenységgel, ami jelentősen megnehezíti a védők számára a monitorozást és a zavarás megzavarását.
Fertőzés mechanizmusa és perzisztencia stratégia
A fertőzési lánc egy aic.sh nevű shell szkripttel kezdődik, amely a 212.104.141.140 IP-címen található parancskiszolgálóról töltődik le. Ez a szkript kezdeményezi a feltört eszköz integrálását a botnet peer-to-peer ökoszisztémájába.
A szkript egy ütemezett cron feladat létrehozásával hozza létre a perzisztenciát, amely minden óra 55. percében lekéri ugyanazt a szkriptet. Minden letöltéskor a szkript átnevezésre kerül „.asusrouter” névre, és végrehajtódik. A perzisztencia biztosítása után a szkript letölt egy rosszindulatú ELF bináris fájlt, átnevezi azt kad-ra, és lefuttatja, gyakorlatilag telepítve a KadNap kártevő hasznos tartalmát. A kártevőt úgy tervezték, hogy ARM és MIPS processzorokat használó eszközökön is működjön, így számos router architektúrát képes feltörni.
Időalapú peer-felderítés és hálózati koordináció
A KadNap egy olyan mechanizmust tartalmaz, amely szinkronizálja a tevékenységet a decentralizált hálózatán keresztül. A rosszindulatú program egy Network Time Protocol (NTP) szerverhez csatlakozik, hogy lekérje az aktuális rendszeridőt, és kombinálja azt a fertőzött eszköz üzemidejével. Ezeket az értékeket egy hash generálására használja, amely segít a fertőzött eszköznek megtalálni a partnereket az elosztott hálózaton belül.
Ez a folyamat lehetővé teszi a feltört rendszerek számára, hogy más csomópontokat fedezzenek fel, utasításokat szerezzenek be és további kártékony fájlokat töltsenek le anélkül, hogy központosított parancsstruktúrára támaszkodnának. A támogató szkriptek, mint például az fwr.sh és a /tmp/.sose, további feladatokat is el tudnak végezni, beleértve a Secure Shell (SSH) által használt szabványos TCP-port, a 22-es port letiltását, valamint a további kommunikációhoz használt C2-kiszolgáló cím- és portkombinációk listájának kinyerését.
A botnet kereskedelmi forgalomba hozatala proxy szolgáltatásokon keresztül
Miután a routerek feltörődnek, egy kereskedelmi proxy hálózatba integrálódnak, amelyet Doppelgänger néven forgalmaznak a doppelganger.shop weboldalon keresztül. Biztonsági kutatók szerint ez a szolgáltatás a Faceless, egy korábban a TheMoon rosszindulatú programmal összefüggésbe hozott proxy platform átnevezett verziója.
A szolgáltatás által közzétett promóciós anyagok szerint a hálózat több mint 50 országban biztosít lakossági proxy hozzáférést, és „100%-os anonimitást” hirdet a felhasználók számára. A bizonyítékok arra utalnak, hogy a platformot 2025 májusa vagy júniusa körül indították el. Az infrastruktúra típus és modell szerint szegmentálja a fertőzött eszközöket, mivel nem minden feltört eszköz kommunikál minden parancskiszolgálóval. Ez a szegmentálás strukturált és skálázható botnet-kezelési stratégiára utal.
A proxy hálózatot már több fenyegető szereplő is kihasználta. A támadások azonosítása azonban továbbra is nehézkes, mivel a hálózatban részt vevő útválasztókat néha egyidejűleg további kártevőcsaládok fertőzik meg, így nem világos, hogy melyik szereplő felelős a konkrét rosszindulatú tevékenységekért.
Védekező intézkedések router-tulajdonosok számára
A KadNap térnyerése rávilágít a rosszul biztosított peremhálózati eszközök jelentette növekvő kockázatra mind az otthoni, mind a kisirodai környezetekben. A hálózati védők és az egyéni felhasználók jelentősen csökkenthetik a kitettséget számos biztonsági gyakorlat bevezetésével:
- Karbantartja routereit és hálózati eszközeit a legújabb firmware-rel és biztonsági frissítésekkel.
- Indítsa újra az eszközöket rendszeresen az ideiglenes rosszindulatú folyamatok eltávolításához, amikor alkalmazható.
- Cserélje le az alapértelmezett hitelesítő adatokat erős, egyedi jelszavakra.
- Korlátozza és biztosítsa az adminisztratív felügyeleti felületeket.
- Szüntesse meg és cserélje ki azokat az útválasztókat, amelyek elérték az élettartamuk végét, és már nem kapják meg a gyártói biztonsági frissítéseket.
Egy decentralizált botnet, amelyet lopakodásra terveztek
A KadNap számos hagyományos, anonim proxy szolgáltatásokat támogató botnettől abban különbözik, hogy decentralizált peer-to-peer architektúrát használ. A Kademlia DHT protokoll kihasználásával a botnet a fertőzött eszközök között osztja el az irányítást, ahelyett, hogy könnyen azonosítható központosított szerverekre támaszkodna.
Ez az architektúra rugalmas kommunikációs csatornákat biztosít az operátorok számára, amelyeket lényegesen nehezebb észlelni, blokkolni vagy megszüntetni. A stratégiai cél egyértelmű: a működési folytonosság fenntartása, a biztonsági monitorozás megkerülése és a kiberbiztonsági csapatok védekező reagálási erőfeszítéseinek bonyolítása.
