Специалисты по кибербезопасности обнаружили устойчивый к отключению ботнет, состоящий из примерно 14 000 роутеров и других сетевых устройств. Большинство из них — маршрутизаторы Asus. Эти устройства были вовлечены в прокси-сеть, которая анонимно передаёт трафик, используемый для киберпреступлений.
Вредоносное ПО, получившее название KadNap, проникает в устройства, используя уязвимости, которые не были устранены их владельцами. Исследователь из Black Lotus Labs Крис Формоза объяснил, что высокая концентрация роутеров Asus, вероятно, связана с тем, что операторы ботнета нашли надёжный способ эксплуатации уязвимостей, затрагивающих именно эти модели. По его словам, маловероятно, что злоумышленники используют в этой операции какие-либо уязвимости нулевого дня.
Уникальная архитектура ботнета
Количество заражённых роутеров в среднем составляет около 14 000 в день, что больше показателя в 10 000 устройств в августе прошлого года, когда ботнет был впервые обнаружен. Скомпрометированные устройства в основном находятся в США, меньшее их количество — на Тайване, в Гонконге и России.
Одной из самых заметных особенностей KadNap является сложная одноранговая (P2P) архитектура, основанная на протоколе Kademlia. Эта сетевая структура использует распределённые хеш-таблицы для сокрытия IP-адресов командных серверов. Такая конструкция делает ботнет устойчивым к обнаружению и отключению традиционными методами.
«Ботнет KadNap выделяется среди других, поддерживающих анонимные прокси, использованием одноранговой сети для децентрализованного управления, — отметили исследователи. — Их намерение очевидно: избежать обнаружения и затруднить защиту».
Принцип работы распределённой сети
Распределённые хеш-таблицы давно используются для создания защищённых одноранговых сетей, наиболее известные примеры — BitTorrent и InterPlanetary File System. Вместо того чтобы полагаться на один или несколько централизованных серверов, которые напрямую управляют узлами и предоставляют им IP-адреса других узлов, DHT позволяют любому узлу опрашивать другие узлы для поиска нужного устройства или сервера. Децентрализованная структура и замена IP-адресов на хеши обеспечивают сети устойчивость к попыткам отключения или DDoS-атакам.
