Tysiące domowych routerów przejętych przez cyberprzestępców. Dominuje jedna marka

Badacze bezpieczeństwa odkryli rozbudowaną sieć botnetu złożoną z około 14 tysięcy routerów i innych urządzeń sieciowych. Według analizy przygotowanej przez ekspertów z Black Lotus Labs znaczną część infrastruktury stanowią urządzenia produkowane przez ASUS.

Zainfekowane urządzenia zostały włączone do sieci proxy wykorzystywanej do anonimowego przekazywania ruchu internetowego. Tego typu infrastruktura bywa używana w operacjach cyberprzestępczych, w kampaniach spamowych oraz w działaniach ukrywających tożsamość użytkowników w sieci. Złośliwe oprogramowanie odpowiedzialne za infekcję nosi nazwę KadNap. Według badaczy ataki wykorzystują znane luki w zabezpieczeniach urządzeń sieciowych, które nie zostały naprawione poprzez aktualizację oprogramowania.

Wiele infekcji tego typu dotyczy sprzętu działającego z nieaktualnym firmware. Brak aktualizacji ułatwia wykorzystanie znanych podatności bezpieczeństwa.

Wzrost liczby zainfekowanych urządzeń

Eksperci z Black Lotus Labs po raz pierwszy zidentyfikowali botnet w sierpniu ubiegłego roku. W tamtym okresie liczba przejętych routerów wynosiła około 10 tysięcy. Obecnie średnia liczba aktywnych urządzeń utrzymuje się na poziomie około 14 tysięcy dziennie. Dane wskazują na stały rozwój infrastruktury botnetu. Największa liczba zainfekowanych urządzeń znajduje się na terenie Stanów Zjednoczonych. Mniejsze skupiska odnotowano na Tajwanie, w Hongkongu, Europie oraz w Rosji.

Według analityków duży udział routerów firmy ASUS wynika z faktu, że operatorzy botnetu uzyskali skuteczny exploit umożliwiający przejęcie kontroli nad określonymi modelami tych urządzeń. Badacze nie znaleźli dowodów wskazujących na wykorzystanie podatności typu zero-day. Atak bazuje na znanych lukach bezpieczeństwa.

Zdecentralizowana architektura utrudnia neutralizację

Najbardziej charakterystyczną cechą botnetu KadNap jest jego architektura komunikacyjna. Zamiast klasycznego modelu opartego na centralnych serwerach dowodzenia wykorzystano zdecentralizowaną sieć peer-to-peer. Struktura bazuje na protokole Kademlia, który wykorzystuje rozproszone tablice skrótów do zarządzania komunikacją między węzłami.

Takie rozwiązanie eliminuje pojedynczy punkt kontroli. W tradycyjnych botnetach centralny serwer przekazuje polecenia zainfekowanym urządzeniom. W przypadku architektury peer-to-peer komunikacja odbywa się pomiędzy samymi węzłami sieci.

Rozproszone tablice skrótów wykorzystywane w Kademlii przechowują informacje o lokalizacji zasobów w wielu punktach sieci. Każdy węzeł przechowuje fragment danych oraz informacje o innych węzłach znajdujących się w pobliżu wirtualnej przestrzeni identyfikatorów. Mechanizm wyszukiwania polega na stopniowym przekazywaniu zapytań między kolejnymi węzłami. Proces prowadzi do odnalezienia docelowego elementu lub serwera kontrolnego.

Takie podejście znane jest z sieci udostępniania plików. W podobny sposób działają systemy wykorzystywane przez protokoły peer-to-peer, w tym BitTorrent oraz system przechowywania danych InterPlanetary File System. Zdecentralizowana architektura utrudnia wyłączenie botnetu przy użyciu tradycyjnych metod polegających na zablokowaniu serwerów sterujących.

Anonimowa infrastruktura proxy

Zainfekowane routery są wykorzystywane jako element infrastruktury proxy. Cyberprzestępcy przekierowują przez nie ruch internetowy klientów korzystających z płatnej usługi proxy o nazwie Doppelganger proxy network. Model działania polega na przekazywaniu połączeń internetowych przez adresy IP należące do prywatnych użytkowników. Taki ruch wygląda jak zwykłe połączenie z sieci domowej.

Adresy IP o dobrej reputacji utrudniają wykrycie nielegalnej aktywności przez systemy bezpieczeństwa stron internetowych. Użytkownicy korzystający z usługi mogą odwiedzać witryny blokujące ruch z centrów danych lub znanych serwerów proxy.

Próby ograniczenia działalności botnetu

Eksperci z Black Lotus Labs opracowali metodę blokowania ruchu pomiędzy zainfekowanymi urządzeniami a infrastrukturą kontrolną botnetu. Organizacja publikuje także wskaźniki naruszenia bezpieczeństwa, które pomagają administratorom sieci wykrywać aktywność KadNap. Właściciele routerów mogą sprawdzić logi systemowe urządzeń pod kątem znanych adresów IP i identyfikatorów plików związanych z infekcją.

Proces usuwania złośliwego oprogramowania wymaga przywrócenia urządzenia do ustawień fabrycznych. Samo ponowne uruchomienie routera nie usuwa infekcji.

Badacze zauważyli, że KadNap zapisuje skrypt powłoki uruchamiany po każdym restarcie systemu. W rezultacie malware ponownie aktywuje się po ponownym włączeniu urządzenia.

Zagrożenia dla użytkowników domowych

Eksperci podkreślają znaczenie regularnych aktualizacji oprogramowania routerów oraz stosowania silnych haseł administracyjnych. Zaleca się również wyłączenie zdalnego dostępu do panelu zarządzania urządzeniem.