Zlonamerna programska oprema KadNap
Raziskovalci kibernetske varnosti so odkrili novonastali sev zlonamerne programske opreme, imenovan KadNap, ki cilja predvsem na usmerjevalnike Asus in jih novači v botnet, namenjen posredovanju zlonamernega internetnega prometa. Zlonamerna programska oprema, ki je bila prvič opažena avgusta 2025, je že okužila več kot 14.000 naprav po vsem svetu. Analiza kaže, da se več kot 60 % ogroženih sistemov nahaja v Združenih državah Amerike, manjše skupine okužb pa so bile odkrite na Tajvanu, v Hongkongu, Rusiji, Združenem kraljestvu, Avstraliji, Braziliji, Franciji, Italiji in Španiji.
Čeprav se zdi, da so glavne tarče usmerjevalniki Asus, preiskave kažejo, da so operaterji, ki stojijo za KadNap, razširili svoja prizadevanja in vključili širši nabor naprav za robno omrežje. Ta širitev kaže na nameren poskus maksimiranja velikosti in odpornosti infrastrukture botneta.
Kazalo
Prikrivanje med vrstniki prek tehnologije Kademlia
Opredeljujoča značilnost delovanja KadNap je njegova odvisnost od spremenjene implementacije protokola Kademlia Distributed Hash Table (DHT). Ta protokol je integriran v arhitekturo peer-to-peer, ki prikriva lokacijo infrastrukture botneta s skrivanjem ukaznih sistemov znotraj porazdeljenih vozlišč.
Ogrožene naprave komunicirajo prek omrežja DHT, da odkrijejo in se povežejo s strežniki Command-and-Control (C2). Z razpršitvijo komunikacije po decentraliziranem okolju se zlonamerna programska oprema izogne zanašanju na eno samo infrastrukturno točko, kar znatno otežuje tradicionalna prizadevanja za odkrivanje in odstranjevanje. Ta pristop učinkovito združuje zlonamerni promet v legitimno aktivnost omrežja peer-to-peer, kar branilcem precej otežuje spremljanje in motnje.
Mehanizem okužbe in strategija vztrajnosti
Veriga okužbe se začne s skriptom lupine z imenom aic.sh, ki se prenese z ukaznega strežnika, ki gostuje na naslovu IP 212.104.141.140. Ta skript sproži postopek integracije ogrožene naprave v ekosistem peer-to-peer botneta.
Skript vzpostavi vztrajnost tako, da ustvari načrtovano opravilo cron, ki pridobi isto skripto ob 55. minuti vsako uro. Vsakič, ko se prenese, se skripta preimenuje v '.asusrouter' in izvede. Ko je vztrajnost zagotovljena, skripta prenese zlonamerno binarno datoteko ELF, jo preimenuje v kad in jo zažene, s čimer učinkovito namesti koristni delež zlonamerne programske opreme KadNap. Zlonamerna programska oprema je bila zasnovana za delovanje na napravah s procesorji ARM in MIPS, kar ji omogoča, da ogrozi širok spekter arhitektur usmerjevalnikov.
Časovno odkrivanje vrstnikov in koordinacija omrežja
KadNap vključuje mehanizem za sinhronizacijo dejavnosti v svojem decentraliziranem omrežju. Zlonamerna programska oprema se poveže s strežnikom NTP (Network Time Protocol), da pridobi trenutni sistemski čas in ga združi s podatki o delovanju okužene naprave. Te vrednosti se uporabljajo za ustvarjanje zgoščene vrednosti, ki okuženi napravi pomaga najti vrstnike v porazdeljenem omrežju.
Ta postopek omogoča ogroženim sistemom, da odkrijejo druga vozlišča, pridobijo navodila in prenesejo dodatne zlonamerne datoteke, ne da bi se pri tem zanašali na centralizirano strukturo ukazov. Podporni skripti, kot sta fwr.sh in /tmp/.sose, opravljajo tudi dodatne naloge, vključno z onemogočanjem vrat 22, standardnih vrat TCP, ki jih uporablja Secure Shell (SSH), in pridobivanjem seznamov kombinacij naslovov strežnikov C2 in vrat, ki se uporabljajo za nadaljnjo komunikacijo.
Komercializacija botneta prek posredniških storitev
Ko so usmerjevalniki ogroženi, se integrirajo v komercialno omrežje proxy, ki se trži pod imenom Doppelgänger prek spletnega mesta doppelganger.shop. Varnostni raziskovalci ocenjujejo, da gre za preimenovano različico Faceless, platforme proxy, ki je bila prej povezana z zlonamerno programsko opremo TheMoon.
Glede na promocijsko gradivo, ki ga je objavila storitev, omrežje zagotavlja stanovanjski dostop prek proxyja v več kot 50 državah in oglašuje »100-odstotno anonimnost« za uporabnike. Dokazi kažejo, da je bila platforma predstavljena okoli maja ali junija 2025. Infrastruktura segmentira okužene naprave po vrsti in modelu, saj ne komunicira vsaka ogrožena naprava z vsakim ukaznim strežnikom. Ta segmentacija kaže na strukturirano in prilagodljivo strategijo upravljanja botnetov.
Omrežje posrednikov je bilo že opaženo, da ga izkorišča več akterjev grožnje. Vendar pa je pripisovanje še vedno težavno, saj so usmerjevalniki, vključeni v omrežje, včasih hkrati okuženi z dodatnimi družinami zlonamerne programske opreme, kar prikriva, kateri akter je odgovoren za določene zlonamerne dejavnosti.
Obrambni ukrepi za lastnike usmerjevalnikov
Vzpon KadNap poudarja naraščajoče tveganje, ki ga predstavljajo slabo zavarovane robne naprave tako v domačih kot majhnih pisarniških okoljih. Omrežni zagovorniki in posamezni uporabniki lahko znatno zmanjšajo izpostavljenost z uvedbo več varnostnih praks:
- Vzdržujte usmerjevalnike in omrežne naprave z najnovejšo vdelano programsko opremo in varnostnimi posodobitvami.
- Občasno znova zaženite naprave, da po potrebi izbrišete začasne zlonamerne procese.
- Privzete poverilnice zamenjajte z močnimi, edinstvenimi gesli.
- Omejite in zavarujte vmesnike za skrbniško upravljanje.
- Upokojite in zamenjajte usmerjevalnike, ki so dosegli konec življenjske dobe in ne prejemajo več varnostnih posodobitev prodajalcev.
Decentraliziran botnet, zasnovan za prikrito delovanje
KadNap se od mnogih tradicionalnih botnetov, ki podpirajo anonimne proxy storitve, razlikuje po uporabi decentralizirane peer-to-peer arhitekture. Z izkoriščanjem protokola Kademlia DHT botnet porazdeli nadzor med okuženimi napravami, namesto da bi se zanašal na enostavno prepoznavne centralizirane strežnike.
Ta arhitektura operaterjem zagotavlja odporne komunikacijske kanale, ki jih je bistveno težje zaznati, blokirati ali razstaviti. Strateški cilj je jasen: ohraniti operativno kontinuiteto, se izogniti varnostnemu nadzoru in otežiti obrambne odzive ekip za kibernetsko varnost.
