Το botnet από χιλιάδες μολυσμένους δρομολογητές είναι δύσκολο να διαγραφεί, αλλά υπάρχει ένας αποτελεσματικός τρόπος αντιμετώπισης.

Εντοπίστηκε ένα νέο σταθερό botnet – KadNap

*Οι ερευνητές από το Black Lotus Labs (Lumen) εντόπισαν μια κακόβουλη δικτυακή επιχείρηση που συνεχίζει να λειτουργεί παρά τις προσπάθειες διαγραφής της.*

Τι βρέθηκε
- Το botnet KadNap επηρέασε περίπου 14 000 δρομολογητές και άλλες συσκευές δικτύου, κυρίως από τον κατασκευαστή Asus.

- Ο ιονισμός εξαπλώνεται μέσω ευπαθειών που δεν είχαν κλειστεί από τους ιδιοκτήτες του εξοπλισμού.
Η πλειονότητα των μολυσμένων συσκευών ανήκει στη σειρά Asus, επειδή οι επιτιθέμενοι βρήκαν αξιόπιστο exploit αποκλειστικά για αυτήν τη γραμμή.

Αξιολόγηση απειλής
- Οι ερευνητές θεωρούν ότι η χρήση μη αναγνωρισμένων (zero‑day) ευπαθειών είναι αδύνατη.

- Τον Αύγουστο του προηγούμενου έτους υπήρχαν ήδη 10 000 μολυσμένες συσκευές, οι περισσότερες στις ΗΠΑ. Στο Ταϊβάν, το Χονγκ Κονγκ και τη Ρωσία εντοπίστηκαν επίσης μερικές εκατοντάδες περιπτώσεις.

Τεχνολογία λειτουργίας
Το KadNap χρησιμοποιεί την peer‑to‑peer αρχιτεκτονική Kademlia – διανεμημένους πίνακες hash, που κρύβουν τις IP διευθύνσεις των servers ελέγχου. Αυτό κάνει το botnet δύσκολο να εντοπιστεί και σχεδόν ανθεκτικό στις παραδοσιακές μεθόδους αφαίρεσης.

> «Το botnet ξεχωρίζει επειδή αντί για ανώνυμα proxy χρησιμοποιεί μια αποκεντρωμένη peer‑to‑peer δικτυακή σύνδεση», – σημειώνουν οι Κρισ Φορμς και Στιβ Ράντ από το Black Lotus στο blog του Lumen.

> “Η πρόθεση των επιτιθέμενων είναι να αποφεύγουν την ανίχνευση και να δυσκολεύουν τους ειδικούς στην ασφάλεια πληροφοριών”.

Πώς αντιδρούν
- Παρά τη σταθερότητα απέναντι στις παραδοσιακές μεθόδους κλεισίματος, το Black Lotus ανέπτυξε έναν τρόπο για να διακόψει όλη την δικτυακή κυκλοφορία μεταξύ της υποδομής ελέγχου του botnet και των υπόλοιπων κόμβων.

- Η ομάδα δημοσιεύει δείκτες παραβίασης σε δημόσια πηγές, ώστε άλλοι οργανισμοί να μπορούν γρήγορα να αποκλείσουν την πρόσβαση στο KadNap.

Έτσι, το KadNap αποτελεί ένα πολύπλοκο, αποκεντρωμένο botnet που χρησιμοποιεί ευπάθειες Asus και peer‑to‑peer δικτυακή σύνδεση για να κρύψει τον έλεγχό του. Ωστόσο οι ειδικοί του Lumen έχουν ήδη βρει τρόπο να σταματήσουν την εξάπλωσή του και παρέχουν εργαλεία για την προστασία των δικτύων από περαιτέρω μόλυνση.