KadNap ļaunprogrammatūra

Kiberdrošības pētnieki ir identificējuši jaunizveidojušos ļaunprogrammatūras paveidu, kas pazīstams kā KadNap, kas galvenokārt ir vērsts pret Asus maršrutētājiem un piesaista tos robottīklam, kas paredzēts ļaunprātīgas interneta datplūsmas pārraidīšanai. Pirmo reizi savvaļā novērota 2025. gada augustā, ļaunprogrammatūra jau ir inficējusi vairāk nekā 14 000 ierīču visā pasaulē. Analīze liecina, ka vairāk nekā 60 % no apdraudētajām sistēmām atrodas Amerikas Savienotajās Valstīs, savukārt mazāki infekciju klasteri ir atklāti Taivānā, Honkongā, Krievijā, Apvienotajā Karalistē, Austrālijā, Brazīlijā, Francijā, Itālijā un Spānijā.

Lai gan šķiet, ka galvenie mērķi ir Asus maršrutētāji, izmeklēšana liecina, ka KadNap operatori ir paplašinājuši savus centienus, iekļaujot plašāku perifērijas tīkla ierīču klāstu. Šī paplašināšanās liecina par apzinātu mēģinājumu maksimāli palielināt botnetu infrastruktūras izmēru un noturību.

Vienādranga slēpšana, izmantojot Kademlia tehnoloģiju

KadNap darbības raksturīga iezīme ir tās paļaušanās uz modificētu Kademlia Distributed Hash Table (DHT) protokola ieviešanu. Šis protokols ir integrēts vienādranga arhitektūrā, kas slēpj botneta infrastruktūras atrašanās vietu, paslēpjot komandu sistēmas izkliedētos mezglos.

Apdraudētās ierīces sazinās, izmantojot DHT tīklu, lai atklātu un izveidotu savienojumu ar vadības un kontroles (C2) serveriem. Izkliedējot saziņu decentralizētā vidē, ļaunprogrammatūra izvairās no atkarības no viena infrastruktūras punkta, ievērojami sarežģot tradicionālās noteikšanas un noņemšanas darbības. Šī pieeja efektīvi apvieno ļaunprātīgu datplūsmu ar likumīgu vienādranga tīkla darbību, ievērojami apgrūtinot aizstāvjiem uzraudzību un darbības pārtraukšanu.

Infekcijas mehānisms un noturības stratēģija

Infekcijas ķēde sākas ar čaulas skriptu ar nosaukumu aic.sh, kas tiek lejupielādēts no komandu servera, kas atrodas IP adresē 212.104.141.140. Šis skripts uzsāk apdraudētās ierīces integrācijas procesu botneta vienādranga ekosistēmā.

Skripts nodrošina noturību, izveidojot ieplānotu cron uzdevumu, kas izgūst vienu un to pašu skriptu katras stundas 55. minūtē. Katru reizi, kad tas tiek lejupielādēts, skripts tiek pārdēvēts par '.asusrouter' un izpildīts. Kad noturība ir nodrošināta, skripts lejādē ļaunprātīgu ELF bināro failu, pārdēvē to par kad un palaiž to, efektīvi izvietojot KadNap ļaunprogrammatūras lietderīgo slodzi. Ļaunprogrammatūra ir izstrādāta tā, lai darbotos ierīcēs, kurās tiek izmantoti gan ARM, gan MIPS procesori, ļaujot tai apdraudēt plašu maršrutētāju arhitektūru klāstu.

Laika gaitā balstīta līdzinieku atklāšana un tīkla koordinācija

KadNap iestrādā mehānismu darbību sinhronizēšanai visā decentralizētajā tīklā. Ļaunprogrammatūra izveido savienojumu ar tīkla laika protokola (NTP) serveri, lai izgūtu pašreizējo sistēmas laiku un apvienotu to ar inficētās ierīces darbības laika informāciju. Šīs vērtības tiek izmantotas, lai ģenerētu jaucējkodu (hash), kas palīdz inficētajai ierīcei atrast līdziniekus izkliedētajā tīklā.

Šis process ļauj kompromitētām sistēmām atklāt citus mezglus, iegūt instrukcijas un lejupielādēt papildu ļaunprātīgus failus, nepaļaujoties uz centralizētu komandu struktūru. Atbalsta skripti, piemēram, fwr.sh un /tmp/.sose, veic arī papildu uzdevumus, tostarp atspējo 22. portu, kas ir standarta TCP ports, ko izmanto Secure Shell (SSH), un iegūst C2 servera adrešu un portu kombināciju sarakstus, ko izmanto turpmākai saziņai.

Botneta komercializācija, izmantojot starpniekservera pakalpojumus

Kad maršrutētāji ir apdraudēti, tie tiek integrēti komerciālā starpniekservera tīklā, kas tiek reklamēts ar nosaukumu Doppelgänger, izmantojot vietni doppelganger.shop. Drošības pētnieki novērtē šo pakalpojumu kā pārdēvētu Faceless versiju — starpniekservera platformu, kas iepriekš bija saistīta ar TheMoon ļaunprogrammatūru.

Saskaņā ar pakalpojuma publicētajiem reklāmas materiāliem tīkls nodrošina piekļuvi mājsaimniecībām, izmantojot starpniekserveri, vairāk nekā 50 valstīs un reklamē lietotājiem “100% anonimitāti”. Pierādījumi liecina, ka platforma tika palaista ap 2025. gada maiju vai jūniju. Infrastruktūra segmentē inficētās ierīces pēc veida un modeļa, jo ne katra apdraudētā ierīce sazinās ar katru komandu serveri. Šī segmentācija norāda uz strukturētu un mērogojamu botnetu pārvaldības stratēģiju.

Jau ir novērots, ka starpniekservera tīklu izmanto vairāki apdraudējumu dalībnieki. Tomēr joprojām ir grūti noteikt vainīgo personu, jo tīklā iesaistītie maršrutētāji dažreiz vienlaikus tiek inficēti ar papildu ļaunprogrammatūru saimēm, tādējādi slēpjot, kurš dalībnieks ir atbildīgs par konkrētām ļaunprātīgām darbībām.

Aizsardzības pasākumi maršrutētāju īpašniekiem

KadNap uzplaukums izceļ pieaugošo risku, ko rada slikti aizsargātas perifērijas ierīces gan mājas, gan mazo biroju vidē. Tīkla aizsargi un individuālie lietotāji var ievērojami samazināt apdraudējumu, ieviešot vairākas drošības prakses:

• Uzturēt maršrutētājus un tīkla ierīces ar jaunāko programmaparatūru un drošības atjauninājumiem.
• Periodiski pārstartējiet ierīces, lai vajadzības gadījumā notīrītu pagaidu ļaunprātīgos procesus.
• Nomainiet noklusējuma akreditācijas datus ar spēcīgām, unikālām parolēm.
• Ierobežojiet un nodrošiniet administratīvās pārvaldības saskarnes.
• Noņemiet no ekspluatācijas laiku un nomainiet maršrutētājus, kas vairs nesaņem piegādātāju drošības atjauninājumus.

Decentralizēts botnets, kas paredzēts slepenībai

KadNap atšķiras no daudziem tradicionālajiem botnetiem, kas atbalsta anonīmus starpniekservera pakalpojumus, ar to, ka tas izmanto decentralizētu vienādranga arhitektūru. Izmantojot Kademlia DHT protokolu, botnets sadala kontroli starp inficētām ierīcēm, nevis paļaujas uz viegli identificējamiem centralizētiem serveriem.

Šī arhitektūra nodrošina operatoriem noturīgus saziņas kanālus, kurus ir ievērojami grūtāk atklāt, bloķēt vai demontēt. Stratēģiskais mērķis ir skaidrs: saglabāt darbības nepārtrauktību, izvairīties no drošības uzraudzības un sarežģīt kiberdrošības komandu aizsardzības reaģēšanas centienus.