Шкідливе програмне забезпечення KadNap
Дослідники з кібербезпеки виявили новий штам шкідливого програмного забезпечення, відомий як KadNap, який в першу чергу націлений на роутери Asus та залучає їх до ботнету, призначеного для проксі-передачі шкідливого інтернет-трафіку. Вперше виявлений у серпні 2025 року, шкідливе програмне забезпечення вже заразило понад 14 000 пристроїв по всьому світу. Аналіз показує, що понад 60% скомпрометованих систем розташовані у Сполучених Штатах, тоді як менші кластери заражень були виявлені на Тайвані, в Гонконзі, Росії, Великій Британії, Австралії, Бразилії, Франції, Італії та Іспанії.
Хоча маршрутизатори Asus, як видається, є основними цілями, розслідування показують, що оператори KadNap розширили свої зусилля, включивши ширший спектр пристроїв периферійних мереж. Це розширення свідчить про навмисну спробу максимізувати розмір та стійкість інфраструктури ботнету.
Зміст
Приховування між користувачами за допомогою технології Kademlia
Визначальною рисою роботи KadNap є її залежність від модифікованої реалізації протоколу розподіленої хеш-таблиці Kademlia (DHT). Цей протокол інтегровано в однорангову архітектуру, яка приховує розташування інфраструктури ботнету, ховаючи системи команд у розподілених вузлах.
Скомпрометовані пристрої взаємодіють через мережу DHT для виявлення та підключення до серверів командування та управління (C2). Розподіляючи зв'язок по децентралізованому середовищу, шкідливе програмне забезпечення уникає залежності від однієї точки інфраструктури, що значно ускладнює традиційні зусилля з виявлення та видалення. Такий підхід ефективно поєднує шкідливий трафік із легітимною активністю в одноранговій мережі, що значно ускладнює моніторинг та порушення роботи для захисників.
Механізм інфекції та стратегія персистенції
Ланцюг зараження починається зі скрипта оболонки під назвою aic.sh, який завантажується з командного сервера, розміщеного за IP-адресою 212.104.141.140. Цей скрипт ініціює процес інтеграції скомпрометованого пристрою в екосистему peer-to-peer ботнету.
Скрипт забезпечує персистенцію, створюючи заплановане завдання cron, яке отримує той самий скрипт на 55-й хвилині кожної години. Щоразу, коли він завантажується, скрипт перейменовується на '.asusrouter' та виконується. Після забезпечення персистенції скрипт завантажує шкідливий бінарний файл ELF, перейменовує його на kad та запускає, фактично розгортаючи корисне навантаження шкідливого програмного забезпечення KadNap. Шкідливе програмне забезпечення було розроблено для роботи на пристроях, що використовують процесори ARM та MIPS, що дозволяє йому компрометувати широкий спектр архітектур маршрутизаторів.
Виявлення однорангових зв'язків та координація мережі на основі часу
KadNap використовує механізм синхронізації активності у своїй децентралізованій мережі. Шкідливе програмне забезпечення підключається до сервера мережевого часу (NTP) для отримання поточного системного часу та поєднує його з інформацією про час безперебійної роботи зараженого пристрою. Ці значення використовуються для створення хешу, який допомагає зараженому пристрою знаходити вузли в розподіленій мережі.
Цей процес дозволяє скомпрометованим системам виявляти інші вузли, отримувати інструкції та завантажувати додаткові шкідливі файли, не покладаючись на централізовану структуру команд. Допоміжні скрипти, такі як fwr.sh та /tmp/.sose, також виконують додаткові завдання, включаючи відключення порту 22, стандартного TCP-порту, що використовується Secure Shell (SSH), та вилучення списків комбінацій адрес та портів C2-сервера, що використовуються для подальшого зв'язку.
Комерціалізація ботнету через проксі-сервіси
Після компрометації маршрутизаторів їх інтегрують у комерційну проксі-мережу, що продається під назвою Doppelgänger через веб-сайт doppelganger.shop. Дослідники безпеки оцінюють цей сервіс як перейменовану версію Faceless, проксі-платформи, яку раніше пов'язували зі шкідливим програмним забезпеченням TheMoon.
Згідно з рекламними матеріалами, опублікованими сервісом, мережа надає доступ через проксі-сервер для мешканців понад 50 країн і рекламує «100% анонімність» для користувачів. Дані свідчать про те, що платформа була запущена приблизно у травні чи червні 2025 року. Інфраструктура сегментує заражені пристрої за типом і моделлю, оскільки не кожен скомпрометований пристрій зв'язується з кожним командним сервером. Така сегментація вказує на структуровану та масштабовану стратегію управління ботнетами.
Вже було помічено, що мережу проксі-серверів використовують багато зловмисників. Однак, атрибуція залишається складною, оскільки маршрутизатори, задіяні в мережі, іноді одночасно інфіковані додатковими сімействами шкідливих програм, що приховує, який саме зловмисник відповідає за конкретні шкідливі дії.
Захисні заходи для власників маршрутизаторів
Зростання популярності KadNap підкреслює зростаючий ризик, який створюють погано захищені периферійні пристрої як у домашніх, так і в малих офісних середовищах. Захисники мережі та окремі користувачі можуть значно зменшити ризики, впроваджуючи кілька практик безпеки:
- Підтримуйте маршрутизатори та мережеві пристрої в актуальному стані, встановлюючи оновлення прошивки та безпеки.
- Періодично перезавантажуйте пристрої, щоб за потреби видаляти тимчасові шкідливі процеси.
- Замініть облікові дані за замовчуванням надійними, унікальними паролями.
- Обмежте та захищте інтерфейси адміністративного управління.
- Виведіть з експлуатації та замініть маршрутизатори, термін служби яких закінчився та більше не отримують оновлення безпеки від постачальників.
Децентралізований ботнет, розроблений для прихованої роботи
KadNap відрізняється від багатьох традиційних ботнетів, що підтримують анонімні проксі-сервіси, використанням децентралізованої однорангової архітектури. Використовуючи протокол Kademlia DHT, ботнет розподіляє контроль між зараженими пристроями, а не покладається на легко ідентифіковані централізовані сервери.
Ця архітектура забезпечує операторів стійкими каналами зв'язку, які значно важче виявити, заблокувати або знищити. Стратегічна мета зрозуміла: підтримувати безперервність операцій, уникати моніторингу безпеки та ускладнювати захисні зусилля команд кібербезпеки.
