Botnetul format din mii de routere infectate este greu de șters – însă există o metodă eficientă de combatere.

Un nou botnet rezistent a fost descoperit – KadNap

*Cercetătorii de la Black Lotus Labs (Lumen) au identificat o rețea malițioasă care continuă să funcționeze în ciuda încercărilor de a o elimina.*

Ce s-a găsit
- Botnetul KadNap a afectat aproximativ 14.000 de routere și alte dispozitive de rețea, majoritatea fiind produse de Asus.

- Virusul se răspândește prin vulnerabilități care nu au fost închise de proprietarii echipamentelor.

Majoritatea dispozitivelor infectate aparțin modelului Asus, deoarece atacatorii au găsit un exploit fiabil exact pentru această linie de produse.

Evaluarea amenințării
- Cercetătorii consideră că utilizarea zero-day-urilor (vulnerabilități necunoscute până acum) este puțin probabilă.

- În augustul anul trecut, numărul dispozitivelor infectate a ajuns deja la 10.000, majoritatea fiind în SUA. De asemenea, au fost detectate câteva sute de cazuri în Taiwan, Hong Kong și Rusia.

Tehnologia de funcționare
KadNap utilizează o arhitectură peer-to-peer Kademlia – tabele hash distribuite care ascund adresele IP ale serverelor de control. Aceasta face botnetul greu de detectat și aproape invulnerabil la metodele tradiționale de eliminare.

> „Botnetul se remarcă prin faptul că, în loc să folosească proxy-uri anonime, utilizează o rețea peer-to-peer descentralizată”, spun Chris Formos și Steve Radd din Black Lotus în blogul Lumen.

> “Intenția atacatorilor este de a evita detectarea și de a complica munca specialiștilor în securitatea informațiilor”.

Cum reacționează
- În ciuda rezistenței la metodele obișnuite de blocare, Black Lotus a dezvoltat o metodă pentru a întrerupe tot traficul de rețea între infrastructura de control a botnetului și celelalte noduri.

- Echipa publică indicatori de compromis în surse deschise, astfel încât alte organizații să poată bloca rapid accesul la KadNap.

Astfel, KadNap reprezintă un botnet complex și descentralizat care exploatează vulnerabilitățile Asus și rețeaua peer-to-peer pentru a-și ascunde controlul. Totuși, specialiștii de la Lumen au deja o metodă de a opri răspândirea sa și oferă instrumente pentru protejarea rețelelor împotriva infectării ulterioare.