Ботнет от хиляди заразени рутери е труден за премахване – но има ефективен начин за борба.

Открит е нов устойчив ботнет – KadNap

*Изследователи от Black Lotus Labs (Lumen) откриха зловредна мрежа, която продължава да функционира въпреки опитите за нейното изтриване.*

Какво намериха
- Ботнетът KadNap засегна около 14 000 маршрутизатори и други мрежови устройства, най-вече от производителя Asus.

- Вирусът се разпространява чрез уязвимости, които не са били затворени от собствениците на оборудването.
Повечето заразени устройства принадлежат към модел Asus, защото атакуващите намериха надежден експлойт точно за тази линия.

Оценка на заплахата
- Изследователите смятат, че използването на нулеви дни (неизвестни до момента уязвимости) е малко вероятно.

- В август от миналата година бяха заразени вече 10 000 устройства, най-вече в САЩ. На Тайван, Гонконг и Русия също са открити няколко стотин случая.

Технология на работа
KadNap използва пирингова архитектура Kademlia – разпределени хеш‑таблици, които скриват IP-адресите на контролните сървъри. Това прави ботнета трудно забележим и почти неуязвим за традиционни методи за изтриване.

> „Ботнетът се отличава с това, че вместо анонимни прокси използва децентрализирана пирингова мрежа“, – отбелязват Крис Формос и Стив Радд от Black Lotus в блога Lumen.

> „Намерението на атакуващите е да избегнат откриването и да затруднят работата на специалисти по информационната сигурност“.

Как реагират
- Въпреки устойчивостта към обичайни методи за блокиране, Black Lotus разработи начин да прекрати цялата мрежова трафика между инфраструктурата за управление на ботнета и останалите възли.

- Екипът публикува индикатори за компрометиране в публични източници, за да позволят на други организации бързо да блокират достъпа до KadNap.

Така че KadNap представлява сложен, децентрализиращ ботнет, който използва уязвимости на Asus и пирингова мрежа за скриване на управлението си. Въпреки това специалистите от Lumen вече са намерили начин да спрат разпространението му и предоставят инструменти за защита на мрежата от по-нататъшна зараза.