Škodlivý softvér KadNap
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novovznikajúci kmeň malvéru známy ako KadNap, ktorý sa primárne zameriava na routery Asus a verbuje ich do botnetu určeného na proxy škodlivej internetovej prevádzky. Malvér, ktorý bol prvýkrát pozorovaný v auguste 2025, už infikoval viac ako 14 000 zariadení na celom svete. Analýza naznačuje, že viac ako 60 % napadnutých systémov sa nachádza v Spojených štátoch, zatiaľ čo menšie zhluky infekcií boli zistené na Taiwane, v Hongkongu, Rusku, Spojenom kráľovstve, Austrálii, Brazílii, Francúzsku, Taliansku a Španielsku.
Hoci sa zdá, že hlavnými cieľmi sú routery Asus, vyšetrovania ukazujú, že operátori stojaci za KadNap rozšírili svoje úsilie o širšiu škálu zariadení na okraji siete. Toto rozšírenie naznačuje zámerný pokus maximalizovať veľkosť a odolnosť infraštruktúry botnetu.
Obsah
Peer-to-peer utajovanie prostredníctvom technológie Kademlia
Charakteristickým znakom operácie KadNap je jej závislosť od upravenej implementácie protokolu Kademlia Distributed Hash Table (DHT). Tento protokol je integrovaný do peer-to-peer architektúry, ktorá skrýva umiestnenie infraštruktúry botnetu skrytím systémov príkazov v distribuovaných uzloch.
Napadnuté zariadenia komunikujú prostredníctvom siete DHT, aby objavili a pripojili sa k serverom Command-and-Control (C2). Rozptýlením komunikácie v decentralizovanom prostredí sa malvér vyhýba spoliehaniu sa na jediný bod infraštruktúry, čo výrazne komplikuje tradičné úsilie o detekciu a odstraňovanie škodlivého softvéru. Tento prístup efektívne spája škodlivú prevádzku s legitímnou aktivitou peer-to-peer siete, čo obrancom značne sťažuje monitorovanie a narušenie.
Mechanizmus infekcie a stratégia perzistencie
Reťazec infekcie začína skriptom s názvom aic.sh, ktorý sa stiahne z príkazového servera hostovaného na IP adrese 212.104.141.140. Tento skript spustí proces integrácie napadnutého zariadenia do peer-to-peer ekosystému botnetu.
Skript zabezpečuje perzistenciu vytvorením naplánovanej úlohy cron, ktorá načíta rovnaký skript v 55. minúte každej hodiny. Pri každom stiahnutí sa skript premenuje na „.asusrouter“ a spustí. Po zabezpečení perzistencie skript stiahne škodlivý binárny súbor ELF, premenuje ho na kad a spustí ho, čím efektívne nasadí užitočné zaťaženie malvéru KadNap. Malvér bol navrhnutý tak, aby fungoval na zariadeniach s procesormi ARM aj MIPS, čo mu umožňuje ohroziť širokú škálu architektúr smerovačov.
Časovo založené vyhľadávanie partnerov a koordinácia siete
KadNap obsahuje mechanizmus na synchronizáciu aktivít v rámci svojej decentralizovanej siete. Malvér sa pripája k serveru NTP (Network Time Protocol), aby získal aktuálny systémový čas a kombinuje ho s informáciami o dostupnosti infikovaného zariadenia. Tieto hodnoty sa používajú na generovanie hashu, ktorý pomáha infikovanému zariadeniu lokalizovať uzly v distribuovanej sieti.
Tento proces umožňuje napadnutým systémom objaviť ďalšie uzly, získať pokyny a stiahnuť ďalšie škodlivé súbory bez toho, aby sa spoliehali na centralizovanú štruktúru príkazov. Podporné skripty ako fwr.sh a /tmp/.sose tiež vykonávajú ďalšie úlohy vrátane deaktivácie portu 22, štandardného TCP portu používaného protokolom Secure Shell (SSH), a extrahovania zoznamov kombinácií adries a portov servera C2 používaných na ďalšiu komunikáciu.
Komercializácia botnetu prostredníctvom proxy služieb
Po napadnutí routerov sú integrované do komerčnej proxy siete, ktorá je predávaná pod názvom Doppelgänger prostredníctvom webovej stránky doppelganger.shop. Bezpečnostní experti hodnotia túto službu ako premenovanú verziu Faceless, proxy platformy, ktorá bola predtým spájaná so škodlivým softvérom TheMoon.
Podľa propagačných materiálov zverejnených službou sieť poskytuje rezidenčný proxy prístup vo viac ako 50 krajinách a propaguje „100 % anonymitu“ pre používateľov. Dôkazy naznačujú, že platforma bola spustená okolo mája alebo júna 2025. Infraštruktúra segmentuje infikované zariadenia podľa typu a modelu, pretože nie každé napadnuté zariadenie komunikuje s každým príkazovým serverom. Táto segmentácia naznačuje štruktúrovanú a škálovateľnú stratégiu správy botnetov.
Proxy sieť už bolo pozorované ako obeť zneužívania viacerými aktérmi hrozby. Priradenie však zostáva zložité, pretože smerovače zapojené do siete sú niekedy súčasne infikované ďalšími rodinami škodlivého softvéru, čím sa zastiera, ktorý aktér je zodpovedný za konkrétne škodlivé aktivity.
Obranné opatrenia pre majiteľov smerovačov
Vzostup vírusu KadNap zdôrazňuje rastúce riziko, ktoré predstavujú nedostatočne zabezpečené okrajové zariadenia v domácich aj malých kanceláriách. Obrancovia siete a individuálni používatelia môžu výrazne znížiť vystavenie sa riziku prijatím niekoľkých bezpečnostných postupov:
- Udržiavajte smerovače a sieťové zariadenia s najnovším firmvérom a bezpečnostnými aktualizáciami.
- Pravidelne reštartujte zariadenia, aby ste v prípade potreby vymazali dočasné škodlivé procesy.
- Nahraďte predvolené prihlasovacie údaje silnými a jedinečnými heslami.
- Obmedziť a zabezpečiť rozhrania administratívnej správy.
- Vyraďte a vymeňte smerovače, ktoré dosiahli koniec životnosti a už nedostávajú aktualizácie zabezpečenia od dodávateľa.
Decentralizovaný botnet navrhnutý pre nenápadné použitie
KadNap sa odlišuje od mnohých tradičných botnetov, ktoré podporujú anonymné proxy služby, používaním decentralizovanej peer-to-peer architektúry. Využitím protokolu Kademlia DHT botnet distribuuje kontrolu medzi infikované zariadenia namiesto toho, aby sa spoliehal na ľahko identifikovateľné centralizované servery.
Táto architektúra poskytuje operátorom odolné komunikačné kanály, ktoré je výrazne ťažšie odhaliť, zablokovať alebo zrušiť. Strategický cieľ je jasný: udržať kontinuitu prevádzky, vyhnúť sa bezpečnostnému monitorovaniu a skomplikovať obranné úsilie tímov kybernetickej bezpečnosti.
