Исследователи говорят, что они обнаружили устойчивый к взлому ботнет из 14 000 маршрутизаторов и других сетевых устройств (в основном производства Asus), которые были включены в прокси-сеть, анонимно передающую трафик, используемый для киберпреступлений.
Вредоносная программа, получившая название KadNap, распространяется за счет использования уязвимостей, которые не были исправлены их владельцами, рассказал Ars Крис Формоза, исследователь охранной компании Lumen's Black Lotus Labs. Высокая концентрация маршрутизаторов Asus, вероятно, связана с тем, что операторы ботнетов получили надежный эксплойт для уязвимостей, затрагивающих эти модели. По его словам, маловероятно, что злоумышленники используют в своей операции какие-либо нулевые дни.
Ботнет, выделяющийся среди других
Число зараженных маршрутизаторов в среднем составляет около 14 000 в день по сравнению с 10 000 в августе прошлого года, когда Black Lotus обнаружила ботнет. Скомпрометированные устройства в подавляющем большинстве расположены в США, а меньшая их часть — на Тайване, в Гонконге и России. Одной из наиболее характерных особенностей KadNap является сложная одноранговая конструкция, основанная на Kademlia, сетевой структуре, которая использует распределенные хэш-таблицы для сокрытия IP-адресов серверов управления и контроля. Конструкция делает ботнет устойчивым к обнаружению и удалению традиционными методами.
«Ботнет KadNap выделяется среди других, которые поддерживают анонимные прокси-серверы, поскольку использует одноранговую сеть для децентрализованного управления», — написали в среду Формоза и его коллега-исследователь Black Lotus Стив Радд. «Их намерение ясно: избежать обнаружения и затруднить защиту защитников».
Распределенные хеш-таблицы уже давно используются для создания защищенных одноранговых сетей, в первую очередь BitTorrent и Межпланетной файловой системы. Вместо того, чтобы иметь один или несколько централизованных серверов, которые напрямую управляют узлами и предоставляют им IP-адреса других узлов, DHT позволяет любому узлу опрашивать другие узлы на предмет искомого устройства или сервера. Децентрализованная структура и замена IP-адресов хэшами обеспечивают устойчивость сети к демонтажам или атакам типа «отказ в обслуживании».