Ботнет из тысяч заражённых маршрутизаторов сложно удалить – однако существует эффективный метод борьбы.

Обнаружен новый устойчивый ботнет – KadNap

*Исследователи из Black Lotus Labs (Lumen) выявили вредоносную сеть, которая продолжает функционировать несмотря на попытки её удалить.*

Что нашли

- Ботнет KadNap затронул около 14 000 маршрутизаторов и других сетевых устройств, в большинстве – от производителя Asus.
- Вирус распространяется через уязвимости, которые не были закрыты владельцами оборудования.
Большинство заражённых устройств относится к модели Asus, потому что злоумышленники нашли надёжный эксплойт именно для этой линейки.

Оценка угрозы

- Исследователи считают маловероятным использование нулевых дней (уязвимостей, не известных до сих пор).
- В августе прошлого года заражённых было уже 10 000 устройств, большинство из них находились в США. На Тайване, Гонконге и России также обнаружено несколько сотен случаев.

Технология работы

KadNap использует пиринговую архитектуру Kademlia – распределённые хеш‑таблицы, которые скрывают IP‑адреса серверов управления. Это делает ботнет трудно заметным и почти неуязвимым для традиционных методов удаления.

> «Ботнет выделяется тем, что вместо анонимных прокси использует децентрализованную пиринговую сеть», – отмечают Крис Формос и Стив Радд из Black Lotus в блоге Lumen.
> “Намерение злоумышленников – избежать обнаружения и усложнить работу специалистов по информационной безопасности”.

Как они реагируют

- Несмотря на устойчивость к обычным методам блокировки, Black Lotus разработала способ прервать весь сетевой трафик между инфраструктурой управления ботнетом и остальными узлами.
- Команда публикует индикаторы компрометации в открытые источники, чтобы другие организации могли быстро заблокировать доступ к KadNap.

Таким образом, KadNap представляет собой сложный, децентрализованный ботнет, который использует уязвимости Asus и пиринговую сеть для скрытия своего управления. Однако специалисты Lumen уже нашли способ остановить его распространение и предоставляют инструменты для защиты сети от дальнейшего заражения.