Исследователи обнаружили ботнет из 14 тысяч роутеров Asus

Исследователи утверждают, что обнаружили устойчивый к блокировке ботнет, состоящий из 14 тысяч маршрутизаторов и других сетевых устройств — в основном производства Asus. Они были подключены к прокси-сети, анонимно передающей трафик для киберпреступлений.

Вредоносное ПО, получившее название KadNap, внедряется, используя уязвимости, которые не были устранены их владельцами, сообщил исследователь подразделения компании Lumen Black Lotus Labs Крис Формоза. Высокая концентрация маршрутизаторов Asus, вероятно, объясняется тем, что операторы ботнета получили надёжный эксплойт для этих моделей. При этом маловероятно, что злоумышленники используют какие-либо уязвимости нулевого дня в своей операции.

Количество заражённых маршрутизаторов составляет в среднем около 14 тысяч в день по сравнению с 10 тысячами в августе прошлого года, когда Black Lotus впервые обнаружила ботнет. Взлом устройств в подавляющем большинстве случаев происходит в США, а также частично на Тайване, в Гонконге и России.

Одна из наиболее характерных особенностей KadNap — это сложная пиринговая архитектура, основанная на Kademlia. Это сетевая структура, использующая распределённые хеш-таблицы для сокрытия IP-адресов серверов управления. Такая архитектура делает ботнет устойчивым к обнаружению и удалению традиционными методами.

«Ботнет KadNap выделяется среди других, использующих анонимные прокси, благодаря использованию пиринговой сети для децентрализованного управления. Намерение ясно: избежать обнаружения и затруднить защиту», — написали Формоза и его коллега, исследователь Black Lotus Стив Радд. 

Распределённые хеш-таблицы давно используются для создания защищённых пиринговых сетей, в частности, BitTorrent и Inter-Planetary File System. Вместо одного или