СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ#Инфра

KadNap: DHT-ботнет угрожает роутерам Asus и IoT

Недавно раскрытая бот‑сеть KadNap представляет собой значительную и быстрорастущую угрозу для сетевого края: первоначально нацеленная на маршрутизаторы Asus, она уже объединяет более 14 000 заражённых устройств, в основном в Соединённых Штатах. Обнаружение провели специалисты Black Lotus Labs в Lumen. По их данным, операторы используют настраиваемую версию протокола Kademlia Distributed Hash Table (DHT), что позволяет скрывать серверы управления и контроля — C2 — внутри одноранговой сети (P2P), затрудняя обнаружение и нейтрализацию.

Ключевые факты

  • Число заражённых устройств: более 14 000, преимущественно в США.
  • Основная цель: маршрутизаторы Asus, но возможны и другие устройства сетевого края.
  • Архитектура управления: кастомизированный Kademlia DHT в режиме P2P, использование bootstrap‑узлов BitTorrent.
  • Поддерживаемые архитектуры: ARM и MIPS.
  • Постоянное присутствие обеспечивается через загрузку shell‑скрипта и настройку задач cron, выполняющих ELF‑файлы.

Как работает KadNap

Заражение начинается с загрузки вредоносного shell‑скрипта, который обеспечивает персистентность на устройстве — чаще всего через запись задания cron, периодически запускающего соответствующий ELF‑файл, связывающийся с бот‑сетью. После инициализации malware подключается к известным bootstrap‑узлам в сети BitTorrent и использует генерируемые DHT‑пакеты для поиска других жертв и узлов управления.

Ключевая особенность KadNap — использование постоянных конечных узлов равноправных участников, что даёт непрерывный контроль над инфраструктурой: анализ показывает, что одни и те же два конечных узла передачи стабильно используются malware. При этом сеть демонстрирует сегментированную архитектуру: устройства Asus в основном общаются с двумя указанными C2 серверами, тогда как другие инфицированные устройства подключаются к отличным от них узлам.

По оценке исследователей Black Lotus Labs, KadNap «скрывает свои серверы управления и контроля (C2) в сети одноранговой (P2P), эффективно маскируя вредоносный трафик под легитимную P2P‑активность».

Технические особенности

  • Кастомная реализация Kademlia DHT для создания «телефонного дерева» C2‑адресов и устойчивой маршрутизации команд.
  • Использование bootstrap‑узлов в сети BitTorrent для нахождения пиров и распространения.
  • Поддержка нескольких процессорных архитектур (ARM, MIPS), что увеличивает площадь атаки.
  • Постоянные конечные узлы, обеспечивающие стабильность и непрерывность контроля.

Возможные сценарии злоупотребления и риски

KadNap может работать как вредоносный прокси, предоставляя киберпреступникам инфраструктуру для:

  • скрытой маршрутизации трафика (анонимизация операций),
  • распространения дополнительного malware на устройствах сети,
  • проведения DDoS‑атак через распределённую сеть прокси,
  • кражи и модификации трафика, влияния на конфиденциальность и целостность данных.

Для организаций и частных пользователей это означает повышенные риски: скомпрометированные домашние и офисные маршрутизаторы могут использоваться как платформа для атак против других целей, а также для скрытого перехвата или перенаправления трафика.

Рекомендации по защите

Black Lotus Labs планирует опубликовать индикаторы компрометации (IoCs) в общедоступных лентах. Эксперты рекомендуют следующие шаги для защиты:

  • Проверить устройства на наличие индикаторов компрометации по опубликованным IoCs.
  • Обновить прошивки маршрутизаторов до актуальных версий и применять vendor‑patches.
  • Сменить стандартные учётные данные и отключить удалённый доступ по умолчанию.
  • Ограничить доступ к административным интерфейсам (фильтрация по IP, VPN для доступа).
  • Сегментировать сеть: отделять IoT‑устройства от основных рабочих сетей и ресурсов.
  • Мониторить нестандартную сетевую активность и DHT/BitTorrent‑подобный трафик с устройств края.
  • В случае подтверждённого заражения — выполнить безопасный сброс устройства к заводским настройкам и восстановление из проверённой резервной копии или замена устройства.

Вывод

KadNap демонстрирует эволюцию тактик операторов бот‑сетей: децентрализованный P2P контроль с использованием Kademlia DHT усложняет обнаружение и нейтрализацию, а поддержка разных архитектур и постоянные конечные узлы повышают живучесть инфраструктуры. Постоянный рост числа инфицированных устройств подчёркивает уязвимость современной IoT‑инфраструктуры и необходимость скоординированного ответа со стороны производителей, провайдеров и исследовательского сообщества.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: