Oprogramowanie złośliwe KadNap
Badacze cyberbezpieczeństwa zidentyfikowali nowy szczep złośliwego oprogramowania o nazwie KadNap, który atakuje głównie routery Asus i werbuje je do botnetu, którego celem jest przechwytywanie złośliwego ruchu internetowego. Po raz pierwszy zaobserwowany w środowisku naturalnym w sierpniu 2025 roku, złośliwy program zainfekował już ponad 14 000 urządzeń na całym świecie. Analiza wskazuje, że ponad 60% zainfekowanych systemów znajduje się w Stanach Zjednoczonych, a mniejsze skupiska infekcji wykryto na Tajwanie, w Hongkongu, Rosji, Wielkiej Brytanii, Australii, Brazylii, Francji, Włoszech i Hiszpanii.
Chociaż routery Asus wydają się być głównym celem ataków, śledztwa pokazują, że operatorzy KadNap rozszerzyli swoje działania, obejmując szerszą gamę urządzeń sieciowych brzegowych. To rozszerzenie sugeruje celowe dążenie do maksymalizacji rozmiaru i odporności infrastruktury botnetu.
Spis treści
Ukrywanie peer-to-peer za pomocą technologii Kademlia
Cechą charakterystyczną działania KadNap jest jego wykorzystanie zmodyfikowanej implementacji protokołu Kademlia Distributed Hash Table (DHT). Protokół ten jest zintegrowany z architekturą peer-to-peer, która ukrywa lokalizację infrastruktury botnetu poprzez ukrywanie systemów poleceń w rozproszonych węzłach.
Zainfekowane urządzenia komunikują się za pośrednictwem sieci DHT, aby wykryć serwery Command-and-Control (C2) i połączyć się z nimi. Rozpraszając komunikację w zdecentralizowanym środowisku, złośliwe oprogramowanie unika konieczności korzystania z jednego punktu infrastruktury, co znacznie komplikuje tradycyjne działania w zakresie wykrywania i eliminowania zagrożeń. Takie podejście skutecznie łączy złośliwy ruch z legalną aktywnością sieci peer-to-peer, znacznie utrudniając obrońcom monitorowanie i zakłócanie ich działania.
Mechanizm infekcji i strategia trwałości
Łańcuch infekcji rozpoczyna się od skryptu powłoki o nazwie aic.sh, który jest pobierany z serwera poleceń hostowanego pod adresem IP 212.104.141.140. Skrypt ten inicjuje proces integracji zainfekowanego urządzenia z ekosystemem peer-to-peer botnetu.
Skrypt zapewnia trwałość, tworząc zaplanowane zadanie cron, które pobiera ten sam skrypt co 55 minut każdej godziny. Po każdym pobraniu skrypt jest zmieniany na „.asusrouter” i uruchamiany. Po zabezpieczeniu trwałości skrypt pobiera złośliwy plik binarny ELF, zmienia jego nazwę na „kad” i uruchamia go, skutecznie wdrażając ładunek złośliwego oprogramowania KadNap. Złośliwe oprogramowanie zostało zaprojektowane do działania na urządzeniach z procesorami ARM i MIPS, co umożliwia mu atakowanie szerokiej gamy architektur routerów.
Odkrywanie równorzędne oparte na czasie i koordynacja sieci
KadNap wykorzystuje mechanizm synchronizacji aktywności w zdecentralizowanej sieci. Szkodliwe oprogramowanie łączy się z serwerem NTP (Network Time Protocol), aby pobrać aktualny czas systemowy i połączyć go z informacjami o czasie sprawności zainfekowanego urządzenia. Wartości te służą do generowania skrótu, który pomaga zainfekowanemu urządzeniu zlokalizować urządzenia w sieci rozproszonej.
Proces ten umożliwia zainfekowanym systemom wykrywanie innych węzłów, uzyskiwanie instrukcji i pobieranie dodatkowych złośliwych plików bez konieczności korzystania ze scentralizowanej struktury poleceń. Skrypty pomocnicze, takie jak fwr.sh i /tmp/.sose, wykonują również dodatkowe zadania, w tym wyłączanie portu 22, standardowego portu TCP używanego przez Secure Shell (SSH), oraz wyodrębnianie list adresów serwerów C2 i kombinacji portów używanych do dalszej komunikacji.
Komercjalizacja botnetu za pośrednictwem usług proxy
Po zainfekowaniu routerów są one integrowane z komercyjną siecią proxy, sprzedawaną pod nazwą Doppelgänger za pośrednictwem strony internetowej doppelganger.shop. Analitycy ds. bezpieczeństwa oceniają, że usługa ta jest przemianowaną wersją Faceless, platformy proxy wcześniej powiązanej ze złośliwym oprogramowaniem TheMoon.
Według materiałów promocyjnych opublikowanych przez usługę, sieć zapewnia dostęp do serwerów proxy w ponad 50 krajach i reklamuje „100% anonimowość” dla użytkowników. Dowody sugerują, że platforma została uruchomiona około maja lub czerwca 2025 roku. Infrastruktura segmentuje zainfekowane urządzenia według typu i modelu, ponieważ nie każde zainfekowane urządzenie komunikuje się z każdym serwerem poleceń. Ta segmentacja wskazuje na ustrukturyzowaną i skalowalną strategię zarządzania botnetem.
Zaobserwowano już, że sieć proxy jest wykorzystywana przez wielu cyberprzestępców. Jednak atrybucja pozostaje trudna, ponieważ routery w sieci są czasami jednocześnie infekowane innymi rodzinami złośliwego oprogramowania, co utrudnia ustalenie, który z nich jest odpowiedzialny za konkretne złośliwe działania.
Środki obronne dla właścicieli routerów
Rozwój KadNap uwydatnia rosnące ryzyko, jakie stwarzają słabo zabezpieczone urządzenia brzegowe w środowiskach domowych i małych biur. Obrońcy sieci i użytkownicy indywidualni mogą znacznie ograniczyć ryzyko, stosując kilka praktyk bezpieczeństwa:
- Instaluj najnowsze aktualizacje oprogramowania sprzętowego i zabezpieczeń routerów i urządzeń sieciowych.
- W razie potrzeby okresowo uruchamiaj ponownie urządzenia, aby usunąć tymczasowe szkodliwe procesy.
- Zastąp domyślne dane logowania silnymi i niepowtarzalnymi hasłami.
- Ogranicz i zabezpiecz interfejsy administracyjne.
- Wycofaj z użytku i wymień routery, których okres eksploatacji dobiegł końca i które nie otrzymują już aktualizacji zabezpieczeń od dostawców.
Zdecentralizowany botnet zaprojektowany do działania w ukryciu
KadNap wyróżnia się spośród wielu tradycyjnych botnetów obsługujących anonimowe usługi proxy dzięki wykorzystaniu zdecentralizowanej architektury peer-to-peer. Wykorzystując protokół Kademlia DHT, botnet dystrybuuje kontrolę między zainfekowane urządzenia, zamiast polegać na łatwo identyfikowalnych, scentralizowanych serwerach.
Ta architektura zapewnia operatorom odporne kanały komunikacji, które są znacznie trudniejsze do wykrycia, zablokowania lub rozmontowania. Cel strategiczny jest jasny: utrzymanie ciągłości operacyjnej, unikanie monitorowania bezpieczeństwa i utrudnianie zespołom ds. cyberbezpieczeństwa działań obronnych.
