14 тысяч маршрутизаторов заражены устойчивым к блокировкам вредносом

Специалисты компании Lumen обнаружили ботнет KadNap, заразивший около 14 тысяч маршрутизаторов и других сетевых устройств, преимущественно производства Asus. Заражённые устройства включены в прокси-сеть, которая обеспечивает анонимную передачу трафика для киберпреступной деятельности. По словам исследователя Chris Formosa из Black Lotus Labs, вредонос использует известные, но не закрытые производителем уязвимости. Высокая концентрация маршрутизаторов Asus объясняется тем, что злоумышленники нашли надёжный способ их эксплуатации — вероятно, речь идёт о публичных уязвимостях, а не о нулевых днях.

Количество заражённых устройств растёт: если в августе прошлого года было около 10 тысяч, то сейчас стабильно держится на уровне 14 тысяч в день. Большинство инфицированных маршрутизаторов находятся в США, меньшие группы обнаружены на Тайване, в Гонконге и России.

Отличительная черта KadNap — его архитектура на основе Kademlia, децентрализованной сети с распределённой хеш-таблицей. Вместо традиционного управления через центральные серверы команд и управления (C&C), каждый узел может запрашивать у других узлов нужную информацию, используя хеши вместо IP-адресов. Такой подход делает ботнет устойчивым к обнаружению и традиционным методам отключения — именно эту архитектуру используют BitTorrent и InterPlanetary File System.

"KadNap выделяется среди других ботнетов с прокси-функциями применением децентрализованной сети для управления без единого центра контроля", — отметили исследователи Formosa и Steve Rudd. Такой дизайн намеренно затрудняет защиту и затягивает процесс нейтрализации угрозы. Децентрализованная структура и замена IP-адресов на хеши обеспечивают сети устойчивость к DDoS-атакам и попыткам отключения.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.