Вредоносная программа KadNap
Исследователи в области кибербезопасности выявили новый штамм вредоносного ПО, известный как KadNap, который в основном нацелен на маршрутизаторы Asus и вербует их в ботнет, предназначенный для переадресации вредоносного интернет-трафика. Впервые обнаруженный в сети в августе 2025 года, этот вредоносный код уже заразил более 14 000 устройств по всему миру. Анализ показывает, что более 60% скомпрометированных систем находятся в Соединенных Штатах, а небольшие кластеры заражений были обнаружены на Тайване, в Гонконге, России, Великобритании, Австралии, Бразилии, Франции, Италии и Испании.
Хотя маршрутизаторы Asus, по всей видимости, являются основными целями, расследования показывают, что операторы, стоящие за KadNap, расширили сферу своих действий, включив в нее более широкий спектр периферийных сетевых устройств. Это расширение свидетельствует о преднамеренной попытке максимизировать размер и отказоустойчивость инфраструктуры ботнета.
Оглавление
Одноранговая защита данных с помощью технологии Kademlia
Отличительной особенностью работы KadNap является использование модифицированной реализации протокола распределенной хеш-таблицы Kademlia (DHT). Этот протокол интегрирован в одноранговую архитектуру, которая скрывает местоположение инфраструктуры ботнета, пряча системы управления внутри распределенных узлов.
Взломанные устройства обмениваются данными через сеть DHT для обнаружения и подключения к серверам управления и контроля (C2). Распределяя обмен данными по децентрализованной среде, вредоносное ПО избегает зависимости от единой точки инфраструктуры, что значительно усложняет традиционные методы обнаружения и удаления. Такой подход эффективно смешивает вредоносный трафик с легитимной активностью в одноранговой сети, что значительно затрудняет мониторинг и нейтрализацию для защитников.
Механизм заражения и стратегия персистенции
Цепочка заражения начинается со скрипта оболочки aic.sh, который загружается с командного сервера, расположенного по IP-адресу 212.104.141.140. Этот скрипт инициирует процесс интеграции скомпрометированного устройства в пиринговую экосистему ботнета.
Скрипт обеспечивает постоянное присутствие в сети, создавая запланированное задание cron, которое загружает тот же скрипт каждые 55 минут каждого часа. При каждой загрузке скрипт переименовывается в '.asusrouter' и выполняется. После обеспечения постоянного присутствия в сети скрипт загружает вредоносный ELF-файл, переименовывает его в kad и запускает, фактически развертывая вредоносную полезную нагрузку KadNap. Вредоносная программа разработана для работы на устройствах с процессорами ARM и MIPS, что позволяет ей компрометировать широкий спектр архитектур маршрутизаторов.
Поиск и координация узловых точек на основе временных интервалов
KadNap использует механизм синхронизации активности в своей децентрализованной сети. Вредоносная программа подключается к серверу протокола сетевого времени (NTP) для получения текущего системного времени и объединяет его с информацией о времени работы зараженного устройства. Эти значения используются для генерации хеша, который помогает зараженному устройству находить узлы в распределенной сети.
Этот процесс позволяет скомпрометированным системам обнаруживать другие узлы, получать инструкции и загружать дополнительные вредоносные файлы, не полагаясь на централизованную структуру управления. Вспомогательные скрипты, такие как fwr.sh и /tmp/.sose, также выполняют дополнительные задачи, включая отключение порта 22, стандартного TCP-порта, используемого Secure Shell (SSH), и извлечение списков комбинаций адресов и портов C2-серверов, используемых для дальнейшей связи.
Коммерциализация ботнета посредством прокси-сервисов
После взлома маршрутизаторы интегрируются в коммерческую прокси-сеть, продаваемую под названием Doppelgänger через веб-сайт doppelganger.shop. Исследователи в области безопасности считают, что этот сервис является переименованной версией Faceless, прокси-платформы, ранее связанной с вредоносным ПО TheMoon.
Согласно рекламным материалам, опубликованным сервисом, сеть предоставляет доступ к резидентным прокси-серверам в более чем 50 странах и рекламирует «100% анонимность» для пользователей. Есть основания полагать, что платформа была запущена примерно в мае или июне 2025 года. Инфраструктура сегментирует зараженные устройства по типу и модели, поскольку не каждое скомпрометированное устройство взаимодействует с каждым командным сервером. Такая сегментация указывает на структурированную и масштабируемую стратегию управления ботнетом.
Уже зафиксировано, что сеть прокси-серверов используется несколькими злоумышленниками. Однако установить виновных по-прежнему сложно, поскольку маршрутизаторы, входящие в сеть, иногда одновременно заражаются дополнительными семействами вредоносных программ, что затрудняет определение того, кто именно несет ответственность за конкретные вредоносные действия.
Меры защиты для владельцев маршрутизаторов
Распространение KadNap подчеркивает растущий риск, создаваемый плохо защищенными периферийными устройствами как в домашних условиях, так и в небольших офисах. Специалисты по сетевой безопасности и отдельные пользователи могут значительно снизить уровень риска, внедрив ряд мер безопасности:
- Поддерживайте работоспособность маршрутизаторов и сетевых устройств, обновляя их прошивку и обеспечивая актуальность системы безопасности.
- При необходимости периодически перезагружайте устройства, чтобы удалить временные вредоносные процессы.
- Замените стандартные учетные данные надежными, уникальными паролями.
- Ограничьте и обеспечьте безопасность интерфейсов административного управления.
- Выведите из эксплуатации и замените маршрутизаторы, срок службы которых истек и которые больше не получают обновления безопасности от производителя.
Децентрализованная ботнет-сеть, разработанная для скрытного использования.
KadNap отличается от многих традиционных ботнетов, использующих анонимные прокси-сервисы, благодаря применению децентрализованной одноранговой архитектуры. Используя протокол Kademlia DHT, ботнет распределяет управление между зараженными устройствами, а не полагается на легко идентифицируемые централизованные серверы.
Эта архитектура предоставляет операторам отказоустойчивые каналы связи, которые значительно сложнее обнаружить, заблокировать или разорвать. Стратегическая цель ясна: поддерживать операционную непрерывность, избегать мониторинга безопасности и усложнять меры реагирования для групп кибербезопасности.
