Злонамерни софтвер KadNap
Истраживачи сајбер безбедности идентификовали су новонастали сој малвера познат као KadNap, који првенствено циља Asus рутере и регрутује их у ботнет дизајниран за проксирање злонамерног интернет саобраћаја. Први пут примећен у природи у августу 2025. године, малвер је већ заразио више од 14.000 уређаја широм света. Анализа показује да се преко 60% угрожених система налази у Сједињеним Државама, док су мањи кластери инфекција откривени у Тајвану, Хонг Конгу, Русији, Уједињеном Краљевству, Аустралији, Бразилу, Француској, Италији и Шпанији.
Иако се чини да су Asus рутери примарне мете, истраге показују да су оператери који стоје иза KadNap-а проширили своје напоре како би обухватили шири спектар уређаја за edge networking. Ово проширење указује на намерни покушај максимизирања величине и отпорности ботнет инфраструктуре.
Преглед садржаја
Прикривање од стране вршњака до вршњака путем Кадемлија технологије
Одлика рада КадНап-а је његово ослањање на модификовану имплементацију протокола Кадемлија Дистрибуиране Хеш Табеле (DHT). Овај протокол је интегрисан у peer-to-peer архитектуру која прикрива локацију инфраструктуре ботнета скривањем командних система унутар дистрибуираних чворова.
Компромитовани уређаји комуницирају путем DHT мреже како би открили и повезали се са серверима за командовање и контролу (C2). Распршивањем комуникације по децентрализованом окружењу, злонамерни софтвер избегава ослањање на једну инфраструктурну тачку, значајно компликујући традиционалне напоре за откривање и уклањање. Овај приступ ефикасно спаја злонамерни саобраћај са легитимном peer-to-peer мрежном активношћу, што знатно отежава праћење и ометање за браниоце.
Механизам инфекције и стратегија перзистенције
Ланац инфекције почиње шел скриптом под називом aic.sh, која се преузима са командног сервера хостованог на IP адреси 212.104.141.140. Ова скрипта покреће процес интеграције компромитованог уређаја у peer-to-peer екосистем ботнета.
Скрипта успоставља перзистентност креирањем заказаног cron задатка који преузима исту скрипту на 55. минуту сваког сата. Сваки пут када се преузме, скрипта се преименује у '.asusrouter' и извршава. Када се обезбеди перзистентност, скрипта преузима злонамерни ELF бинарни фајл, преименује га у kad и покреће га, ефикасно распоређујући KadNap малвер. Малвер је дизајниран да ради на уређајима који користе и ARM и MIPS процесоре, што му омогућава да угрози широк спектар архитектура рутера.
Временски засновано откривање вршњака и координација мреже
КадНап укључује механизам за синхронизацију активности у својој децентрализованој мрежи. Злонамерни софтвер се повезује са NTP (Network Time Protocol) сервером како би преузео тренутно системско време и комбинује га са информацијама о времену рада зараженог уређаја. Ове вредности се користе за генерисање хеша који помаже зараженом уређају да лоцира вршњаке унутар дистрибуиране мреже.
Овај процес омогућава компромитованим системима да открију друге чворове, добију инструкције и преузму додатне злонамерне датотеке без ослањања на централизовану командну структуру. Подржавајуће скрипте као што су fwr.sh и /tmp/.sose такође обављају додатне задатке, укључујући онемогућавање порта 22, стандардног TCP порта који користи Secure Shell (SSH), и издвајање листа комбинација адреса C2 сервера и портова које се користе за даљу комуникацију.
Комерцијализација ботнета путем прокси сервиса
Када се рутери угрозе, они се интегришу у комерцијалну прокси мрежу која се пласира на тржиште под именом Doppelgänger преко веб странице doppelganger.shop. Истраживачи безбедности процењују да је ова услуга ребрендирана верзија Faceless-а, прокси платформе која је раније била повезана са малвером TheMoon.
Према промотивном материјалу који је објавио сервис, мрежа пружа резиденцијални прокси приступ у више од 50 земаља и рекламира „100% анонимност“ за кориснике. Докази указују на то да је платформа покренута око маја или јуна 2025. године. Инфраструктура сегментира заражене уређаје по типу и моделу, јер не комуницира сваки угрожени уређај са сваким командним сервером. Ова сегментација указује на структурирану и скалабилну стратегију управљања ботнетом.
Већ је примећено да више претњи злоупотребљава прокси мрежу. Међутим, одређивање њихове приписивања остаје тешко јер су рутери укључени у мрежу понекад истовремено заражени додатним породицама малвера, што прикрива који је актер одговоран за одређене злонамерне активности.
Одбрамбене мере за власнике рутера
Успон ширења KadNap-а истиче растући ризик који представљају лоше обезбеђени уређаји на рубу мреже, како у кућним тако и у малим канцеларијским окружењима. Заштитници мреже и појединачни корисници могу значајно смањити изложеност усвајањем неколико безбедносних пракси:
- Одржавајте рутере и мрежне уређаје најновијим фирмвером и безбедносним ажурирањима.
- Периодично поново покрећите уређаје да бисте обрисали привремене злонамерне процесе када је то потребно.
- Замените подразумеване акредитиве јаким, јединственим лозинкама.
- Ограничите и обезбедите административне интерфејсе за управљање.
- Повуците из употребе и замените рутере којима је истекао животни век и који више не добијају безбедносна ажурирања произвођача.
Децентрализовани ботнет дизајниран за прикривеност
КадНап се разликује од многих традиционалних ботнета који подржавају анонимне прокси сервисе употребом децентрализоване peer-to-peer архитектуре. Коришћењем Kademlia DHT протокола, ботнет дистрибуира контролу између заражених уређаја уместо да се ослања на лако идентификоване централизоване сервере.
Ова архитектура пружа оператерима отпорне комуникационе канале које је знатно теже открити, блокирати или демонтирати. Стратешки циљ је јасан: одржати оперативни континуитет, избећи безбедносно праћење и компликовати одбрамбене напоре тимова за сајбер безбедност.
