Perisian Hasad KadNap
Penyelidik keselamatan siber telah mengenal pasti strain perisian hasad yang baru muncul yang dikenali sebagai KadNap, yang terutamanya menyasarkan penghala Asus dan merekrut mereka ke dalam botnet yang direka untuk menyasarkan trafik internet yang berniat jahat. Pertama kali diperhatikan di alam liar pada Ogos 2025, perisian hasad ini telah menjangkiti lebih daripada 14,000 peranti di seluruh dunia. Analisis menunjukkan bahawa lebih 60% sistem yang dikompromi terletak di Amerika Syarikat, manakala kelompok jangkitan yang lebih kecil telah dikesan di Taiwan, Hong Kong, Rusia, United Kingdom, Australia, Brazil, Perancis, Itali dan Sepanyol.
Walaupun penghala Asus nampaknya menjadi sasaran utama, siasatan menunjukkan bahawa pengendali di sebalik KadNap telah mengembangkan usaha mereka untuk memasukkan rangkaian peranti rangkaian pinggir yang lebih luas. Pengembangan ini mencadangkan percubaan yang disengajakan untuk memaksimumkan saiz dan daya tahan infrastruktur botnet.
Isi kandungan
Penyembunyian Rakan Sebaya Melalui Teknologi Kademlia
Satu ciri yang menentukan operasi KadNap ialah pergantungannya pada pelaksanaan protokol Jadual Hash Teragih (DHT) Kademlia yang diubah suai. Protokol ini disepadukan ke dalam seni bina rakan-ke-rakan yang menyembunyikan lokasi infrastruktur botnet dengan menyembunyikan sistem arahan dalam nod teragih.
Peranti yang terjejas berkomunikasi melalui rangkaian DHT untuk menemui dan menyambung ke pelayan Perintah dan Kawalan (C2). Dengan menyebarkan komunikasi merentasi persekitaran terdesentralisasi, perisian hasad mengelakkan pergantungan pada satu titik infrastruktur, sekali gus merumitkan usaha pengesanan dan penghapusan tradisional dengan ketara. Pendekatan ini berkesan menggabungkan trafik berniat jahat ke dalam aktiviti rangkaian rakan-ke-rakan yang sah, menjadikan pemantauan dan gangguan jauh lebih sukar untuk pembela.
Mekanisme Jangkitan dan Strategi Kegigihan
Rantaian jangkitan bermula dengan skrip shell bernama aic.sh, yang dimuat turun daripada pelayan arahan yang dihoskan di alamat IP 212.104.141.140. Skrip ini memulakan proses penyepaduan peranti yang diceroboh ke dalam ekosistem rakan-ke-rakan botnet.
Skrip ini mewujudkan kegigihan dengan mencipta tugas cron berjadual yang mengambil skrip yang sama pada tanda 55 minit setiap jam. Setiap kali ia dimuat turun, skrip dinamakan semula kepada '.asusrouter' dan dilaksanakan. Sebaik sahaja kegigihan dijamin, skrip memuat turun binari ELF yang berniat jahat, menamakannya semula sebagai kad dan menjalankannya, sekali gus menggunakan muatan malware KadNap dengan berkesan. Malware ini telah direkayasa untuk beroperasi pada peranti yang menggunakan pemproses ARM dan MIPS, membolehkannya menjejaskan pelbagai seni bina penghala.
Penemuan Rakan Sebaya Berasaskan Masa dan Penyelarasan Rangkaian
KadNap menggabungkan mekanisme untuk menyegerakkan aktiviti merentasi rangkaian terpencarnya. Perisian hasad ini bersambung ke pelayan Protokol Masa Rangkaian (NTP) untuk mendapatkan semula masa sistem semasa dan menggabungkannya dengan maklumat masa operasi peranti yang dijangkiti. Nilai-nilai ini digunakan untuk menjana hash yang membantu peranti yang dijangkiti mencari rakan sebaya dalam rangkaian teragih.
Proses ini membolehkan sistem yang dikompromi menemui nod lain, mendapatkan arahan dan memuat turun fail berniat jahat tambahan tanpa bergantung pada struktur arahan berpusat. Skrip sokongan seperti fwr.sh dan /tmp/.sose juga melaksanakan tugas tambahan, termasuk melumpuhkan port 22, port TCP standard yang digunakan oleh Secure Shell (SSH) dan mengekstrak senarai alamat pelayan C2 dan kombinasi port yang digunakan untuk komunikasi selanjutnya.
Pengkomersialan Botnet Melalui Perkhidmatan Proksi
Sebaik sahaja penghala dicerobohi, ia akan disepadukan ke dalam rangkaian proksi komersial yang dipasarkan di bawah nama Doppelgänger melalui laman web doppelganger.shop. Penyelidik keselamatan menilai perkhidmatan ini sebagai versi Faceless yang dijenamakan semula, platform proksi yang sebelum ini dikaitkan dengan perisian hasad TheMoon.
Menurut bahan promosi yang diterbitkan oleh perkhidmatan tersebut, rangkaian tersebut menyediakan akses proksi kediaman di lebih 50 buah negara dan mengiklankan 'tanpa nama 100%' untuk pengguna. Bukti menunjukkan platform tersebut dilancarkan sekitar Mei atau Jun 2025. Infrastruktur tersebut membahagikan peranti yang dijangkiti mengikut jenis dan model, kerana bukan setiap peranti yang diceroboh berkomunikasi dengan setiap pelayan arahan. Segmentasi ini menunjukkan strategi pengurusan botnet yang berstruktur dan boleh diskala.
Rangkaian proksi telah diperhatikan dieksploitasi oleh pelbagai pelaku ancaman. Walau bagaimanapun, atribusi masih sukar kerana penghala yang terlibat dalam rangkaian kadangkala dijangkiti secara serentak dengan keluarga perisian hasad tambahan, mengaburkan pelaku mana yang bertanggungjawab untuk aktiviti berniat jahat tertentu.
Langkah Pertahanan untuk Pemilik Penghala
Kebangkitan KadNap menonjolkan risiko yang semakin meningkat yang ditimbulkan oleh peranti tepi yang tidak selamat dalam persekitaran rumah dan pejabat kecil. Pembela rangkaian dan pengguna individu boleh mengurangkan pendedahan dengan ketara dengan menerima pakai beberapa amalan keselamatan:
- Sentiasa pastikan penghala dan peranti rangkaian mempunyai perisian tegar dan kemas kini keselamatan terkini.
- But semula peranti secara berkala untuk membersihkan proses berniat jahat sementara apabila berkenaan.
- Gantikan kelayakan lalai dengan kata laluan yang kukuh dan unik.
- Hadkan dan lindungi antara muka pengurusan pentadbiran.
- Bersara dan gantikan penghala yang telah tamat tempoh hayatnya dan tidak lagi menerima kemas kini keselamatan vendor.
Botnet Terdesentralisasi Direka untuk Senyap
KadNap membezakan dirinya daripada banyak botnet tradisional yang menyokong perkhidmatan proksi tanpa nama melalui penggunaan seni bina peer-to-peer yang terpencar. Dengan memanfaatkan protokol DHT Kademlia, botnet mengagihkan kawalan merentasi peranti yang dijangkiti dan bukannya bergantung pada pelayan berpusat yang mudah dikenal pasti.
Seni bina ini menyediakan saluran komunikasi yang berdaya tahan kepada pengendali yang jauh lebih sukar untuk dikesan, disekat atau dibongkar. Matlamat strategiknya adalah jelas: mengekalkan kesinambungan operasi, mengelakkan pemantauan keselamatan dan merumitkan usaha tindak balas pertahanan untuk pasukan keselamatan siber.
