KadNap kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė naujai atsirandančią kenkėjiškos programos atmainą, žinomą kaip „KadNap“, kuri pirmiausia taikosi į „Asus“ maršrutizatorius ir įtraukia juos į botnetą, skirtą kenkėjiškam interneto srautui valdyti. Pirmą kartą pastebėta 2025 m. rugpjūtį, kenkėjiška programa jau užkrėtė daugiau nei 14 000 įrenginių visame pasaulyje. Analizė rodo, kad daugiau nei 60 % pažeistų sistemų yra Jungtinėse Amerikos Valstijose, o mažesni užkrėtimų židiniai aptikti Taivane, Honkonge, Rusijoje, Jungtinėje Karalystėje, Australijoje, Brazilijoje, Prancūzijoje, Italijoje ir Ispanijoje.
Nors pagrindiniai taikiniai atrodo esantys „Asus“ maršrutizatoriai, tyrimai rodo, kad „KadNap“ operatoriai išplėtė savo pastangas, įtraukdami platesnį periferinių tinklų įrenginių asortimentą. Šis išplėtimas rodo sąmoningą bandymą maksimaliai padidinti botnetų infrastruktūros dydį ir atsparumą.
Turinys
„Peer-to-peer“ slėpimas naudojant „Kademlia“ technologiją
Būdingas „KadNap“ operacijos bruožas yra modifikuotas „Kademlia Distributed Hash Table“ (DHT) protokolo įgyvendinimas. Šis protokolas yra integruotas į „peer-to-peer“ architektūrą, kuri slepia botneto infrastruktūros vietą, paslėpdama komandų sistemas paskirstytuose mazguose.
Pažeisti įrenginiai bendrauja per DHT tinklą, kad aptiktų ir prisijungtų prie komandų ir kontrolės (C2) serverių. Paskirstydama ryšį decentralizuotoje aplinkoje, kenkėjiška programa išvengia priklausomybės nuo vieno infrastruktūros taško, o tai labai apsunkina tradicines aptikimo ir pašalinimo pastangas. Šis metodas efektyviai sujungia kenkėjišką srautą su teisėta „peer-to-peer“ tinklo veikla, todėl gynėjams gerokai sunkiau stebėti ir sutrikdyti veiklą.
Infekcijos mechanizmas ir išlikimo strategija
Užkrėtimo grandinė prasideda nuo apvalkalo scenarijaus pavadinimu aic.sh, kuris atsisiunčiamas iš komandų serverio, esančio IP adresu 212.104.141.140. Šis scenarijus inicijuoja pažeisto įrenginio integravimo į botneto „peer-to-peer“ ekosistemą procesą.
Scenarijus užtikrina duomenų tęstinumą sukurdamas suplanuotą „cron“ užduotį, kuri kas valandą po 55 minučių nuskaito tą patį scenarijų. Kiekvieną kartą atsisiuntus, scenarijus pervadinamas į „.asusrouter“ ir vykdomas. Užtikrinus duomenų tęstinumą, scenarijus atsisiunčia kenkėjišką ELF dvejetainį failą, pervadina jį į „kad“ ir paleidžia, efektyviai įdiegdamas „KadNap“ kenkėjiškos programos naudingąją apkrovą. Kenkėjiška programa sukurta veikti įrenginiuose, kuriuose naudojami tiek ARM, tiek MIPS procesoriai, todėl gali pažeisti įvairias maršrutizatorių architektūras.
Laiku pagrįstas tarpusavio aptikimas ir tinklo koordinavimas
„KadNap“ turi mechanizmą, skirtą sinchronizuoti veiklą visame decentralizuotame tinkle. Kenkėjiška programa prisijungia prie tinklo laiko protokolo (NTP) serverio, kad gautų dabartinį sistemos laiką ir sujungtų jį su užkrėsto įrenginio veikimo laiko informacija. Šios vertės naudojamos maišos kodui (hash) generuoti, kuris padeda užkrėstam įrenginiui rasti bendraamžius paskirstytame tinkle.
Šis procesas leidžia pažeistoms sistemoms aptikti kitus mazgus, gauti instrukcijas ir atsisiųsti papildomus kenkėjiškus failus nenaudojant centralizuotos komandų struktūros. Palaikomi scenarijai, tokie kaip fwr.sh ir /tmp/.sose, taip pat atlieka papildomas užduotis, įskaitant 22 prievado, standartinio TCP prievado, kurį naudoja „Secure Shell“ (SSH), išjungimą ir C2 serverio adresų bei prievadų derinių, naudojamų tolesniam ryšiui, sąrašų išgavimą.
Botneto komercializavimas naudojant tarpinio serverio paslaugas
Kai maršrutizatoriai pažeidžiami, jie integruojami į komercinį tarpinio serverio tinklą, parduodamą „Doppelgänger“ pavadinimu per svetainę doppelganger.shop. Saugumo tyrėjai šią paslaugą vertina kaip pervadintą „Faceless“ – tarpinio serverio platformos, anksčiau sietos su kenkėjiška programa „TheMoon“, versiją.
Remiantis paslaugos paskelbta reklamine medžiaga, tinklas teikia prieigą prie gyvenamųjų namų tarpinio serverio daugiau nei 50 šalių ir reklamuoja „100 % anonimiškumą“ vartotojams. Įrodymai rodo, kad platforma buvo paleista maždaug 2025 m. gegužės arba birželio mėn. Infrastruktūra segmentuoja užkrėstus įrenginius pagal tipą ir modelį, nes ne kiekvienas pažeistas įrenginys bendrauja su kiekvienu komandų serveriu. Ši segmentacija rodo struktūrizuotą ir keičiamo dydžio botnetų valdymo strategiją.
Jau pastebėta, kad tarpinio serverio tinklu naudojasi keli kenkėjiški veikėjai. Tačiau nustatyti jų tapatybę sunku, nes tinkle dalyvaujantys maršrutizatoriai kartais vienu metu užkrečiami papildomomis kenkėjiškų programų šeimomis, todėl sunku nustatyti, kuris veikėjas yra atsakingas už konkrečią kenkėjišką veiklą.
Apsaugos priemonės maršrutizatorių savininkams
„KadNap“ iškilimas pabrėžia augančią riziką, kurią kelia prastai apsaugoti periferiniai įrenginiai tiek namų, tiek mažų biurų aplinkoje. Tinklo gynėjai ir individualūs vartotojai gali gerokai sumažinti riziką, taikydami keletą saugumo praktikų:
- Palaikykite maršrutizatorius ir tinklo įrenginius su naujausia programine įranga ir saugos naujinimais.
- Periodiškai perkraukite įrenginius, kad prireikus būtų pašalinti laikini kenkėjiški procesai.
- Pakeiskite numatytuosius prisijungimo duomenis stipriais, unikaliais slaptažodžiais.
- Apriboti ir apsaugoti administracinio valdymo sąsajas.
- Išjunkite ir pakeiskite maršrutizatorius, kurių eksploatavimo laikas baigėsi ir kurie nebegauna tiekėjų saugos naujinimų.
Decentralizuotas botnetas, sukurtas slaptam veikimui
„KadNap“ skiriasi nuo daugelio tradicinių botnetų, kurie palaiko anonimines tarpinio serverio paslaugas, tuo, kad naudoja decentralizuotą „peer-to-peer“ architektūrą. Naudodamas „Kademlia DHT“ protokolą, botnetas paskirsto kontrolę tarp užkrėstų įrenginių, o ne pasikliauja lengvai atpažįstamais centralizuotais serveriais.
Ši architektūra suteikia operatoriams atsparius ryšio kanalus, kuriuos gerokai sunkiau aptikti, blokuoti ar išardyti. Strateginis tikslas aiškus: išlaikyti veiklos tęstinumą, išvengti saugumo stebėsenos ir apsunkinti kibernetinio saugumo komandų gynybinio reagavimo pastangas.
