KadNap Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, öncelikle Asus yönlendiricilerini hedef alan ve onları kötü amaçlı internet trafiğini yönlendirmek üzere tasarlanmış bir botnet'e dahil eden KadNap olarak bilinen yeni ortaya çıkan bir kötü amaçlı yazılım türünü tespit etti. İlk olarak Ağustos 2025'te gözlemlenen bu kötü amaçlı yazılım, dünya çapında 14.000'den fazla cihaza bulaştı. Analizler, etkilenen sistemlerin %60'ından fazlasının Amerika Birleşik Devletleri'nde bulunduğunu, daha küçük enfeksiyon kümelerinin ise Tayvan, Hong Kong, Rusya, Birleşik Krallık, Avustralya, Brezilya, Fransa, İtalya ve İspanya'da tespit edildiğini gösteriyor.
Asus yönlendiricileri birincil hedef gibi görünse de, soruşturmalar KadNap'ın arkasındaki operatörlerin çabalarını daha geniş bir yelpazedeki uç ağ cihazlarını da kapsayacak şekilde genişlettiğini gösteriyor. Bu genişleme, botnet altyapısının boyutunu ve dayanıklılığını en üst düzeye çıkarmaya yönelik kasıtlı bir girişimi düşündürüyor.
İçindekiler
Kademlia Teknolojisi Aracılığıyla Kişiler Arası Gizleme
KadNap operasyonunun belirleyici özelliklerinden biri, Kademlia Dağıtılmış Karma Tablo (DHT) protokolünün değiştirilmiş bir uygulamasına dayanmasıdır. Bu protokol, komut sistemlerini dağıtılmış düğümler içinde gizleyerek botnet altyapısının konumunu saklayan eşler arası bir mimariye entegre edilmiştir.
Ele geçirilen cihazlar, Komuta ve Kontrol (C2) sunucularını keşfetmek ve bunlara bağlanmak için DHT ağı üzerinden iletişim kurar. İletişimi merkezi olmayan bir ortama dağıtarak, kötü amaçlı yazılım tek bir altyapı noktasına bağımlılığı ortadan kaldırır ve geleneksel tespit ve etkisiz hale getirme çabalarını önemli ölçüde zorlaştırır. Bu yaklaşım, kötü amaçlı trafiği meşru eşler arası ağ etkinliğine etkili bir şekilde karıştırarak, savunucular için izleme ve engellemeyi önemli ölçüde daha zor hale getirir.
Enfeksiyon Mekanizması ve Kalıcılık Stratejisi
Bulaşma zinciri, 212.104.141.140 IP adresinde barındırılan bir komut sunucusundan indirilen aic.sh adlı bir shell betiğiyle başlar. Bu betik, ele geçirilen cihazın botnet'in eşler arası ekosistemine entegre edilmesi sürecini başlatır.
Bu komut dosyası, her saatin 55. dakikasında aynı komut dosyasını indiren zamanlanmış bir cron görevi oluşturarak kalıcılık sağlar. Her indirildiğinde, komut dosyası '.asusrouter' olarak yeniden adlandırılır ve çalıştırılır. Kalıcılık sağlandıktan sonra, komut dosyası kötü amaçlı bir ELF ikili dosyasını indirir, adını kad olarak değiştirir ve çalıştırarak KadNap kötü amaçlı yazılım yükünü etkili bir şekilde dağıtır. Kötü amaçlı yazılım, hem ARM hem de MIPS işlemcileri kullanan cihazlarda çalışacak şekilde tasarlanmıştır ve bu da çok çeşitli yönlendirici mimarilerini tehlikeye atmasını sağlar.
Zamana Dayalı Akran Keşfi ve Ağ Koordinasyonu
KadNap, merkezi olmayan ağındaki etkinlikleri senkronize etmek için bir mekanizma içerir. Kötü amaçlı yazılım, mevcut sistem saatini almak için bir Ağ Zaman Protokolü (NTP) sunucusuna bağlanır ve bunu enfekte cihazın çalışma süresi bilgileriyle birleştirir. Bu değerler, enfekte cihazın dağıtılmış ağ içindeki eşlerini bulmasına yardımcı olan bir karma değer oluşturmak için kullanılır.
Bu süreç, ele geçirilmiş sistemlerin merkezi bir komut yapısına bağlı kalmadan diğer düğümleri keşfetmesini, talimatlar almasını ve ek kötü amaçlı dosyaları indirmesini sağlar. fwr.sh ve /tmp/.sose gibi destekleyici komut dosyaları ayrıca, Güvenli Kabuk (SSH) tarafından kullanılan standart TCP bağlantı noktası olan 22 numaralı bağlantı noktasını devre dışı bırakmak ve daha fazla iletişim için kullanılan C2 sunucu adresi ve bağlantı noktası kombinasyonlarının listelerini çıkarmak da dahil olmak üzere ek görevler gerçekleştirir.
Proxy Hizmetleri Aracılığıyla Botnet’in Ticari Hale Getirilmesi
Yönlendiriciler ele geçirildikten sonra, doppelganger.shop web sitesi üzerinden Doppelgänger adı altında pazarlanan ticari bir proxy ağına entegre ediliyorlar. Güvenlik araştırmacıları, bu hizmetin daha önce TheMoon kötü amaçlı yazılımıyla ilişkilendirilen Faceless adlı proxy platformunun yeniden markalanmış bir versiyonu olduğunu değerlendiriyor.
Hizmet tarafından yayınlanan tanıtım materyallerine göre, ağ 50'den fazla ülkede konut proxy erişimi sağlıyor ve kullanıcılara '%100 anonimlik' vaat ediyor. Kanıtlar, platformun Mayıs veya Haziran 2025 civarında başlatıldığını gösteriyor. Altyapı, her ele geçirilmiş cihazın her komuta sunucusuyla iletişim kurmadığı için, enfekte olmuş cihazları tür ve modele göre bölümlere ayırıyor. Bu bölümlendirme, yapılandırılmış ve ölçeklenebilir bir botnet yönetim stratejisine işaret ediyor.
Proxy ağının birden fazla tehdit aktörü tarafından istismar edildiği zaten gözlemlenmiştir. Bununla birlikte, ağa dahil olan yönlendiricilerin bazen aynı anda ek kötü amaçlı yazılım aileleriyle enfekte olması ve hangi aktörün belirli kötü amaçlı faaliyetlerden sorumlu olduğunun belirsizleşmesi nedeniyle, sorumluluğun belirlenmesi zor olmaya devam etmektedir.
Yönlendirici Sahipleri İçin Savunma Önlemleri
KadNap'ın yükselişi, hem ev hem de küçük ofis ortamlarında yetersiz güvenlik önlemlerine sahip uç cihazların oluşturduğu artan riski vurgulamaktadır. Ağ savunucuları ve bireysel kullanıcılar, çeşitli güvenlik uygulamalarını benimseyerek maruz kaldıkları riski önemli ölçüde azaltabilirler:
- Yönlendiricilerinizi ve ağ cihazlarınızı en son bellenim ve güvenlik güncellemeleriyle güncel tutun.
- Gerektiğinde geçici zararlı işlemleri temizlemek için cihazları periyodik olarak yeniden başlatın.
- Varsayılan kimlik bilgilerini güçlü ve benzersiz parolalarla değiştirin.
- Yönetim arayüzlerini kısıtlayın ve güvenliğini sağlayın.
- Kullanım ömrü sona ermiş ve artık üreticiden güvenlik güncellemeleri almayan yönlendiricileri devre dışı bırakın ve yenileriyle değiştirin.
Gizlilik İçin Tasarlanmış Merkeziyetsiz Bir Botnet
KadNap, anonim proxy hizmetlerini destekleyen birçok geleneksel botnet'ten, merkezi olmayan eşler arası mimarisini kullanmasıyla ayrışır. Kademlia DHT protokolünü kullanarak, botnet, kolayca tanımlanabilen merkezi sunuculara güvenmek yerine, kontrolü enfekte olmuş cihazlar arasında dağıtır.
Bu mimari, operatörlere tespit edilmesi, engellenmesi veya devre dışı bırakılması önemli ölçüde daha zor olan dayanıklı iletişim kanalları sağlar. Stratejik hedef açıktır: operasyonel sürekliliği sağlamak, güvenlik izlemesinden kaçınmak ve siber güvenlik ekiplerinin savunma müdahale çabalarını zorlaştırmak.
