Botnet z tisíců infikovaných routerů je těžké odstranit – ale existuje účinná metoda boje.

Objeven nový stabilní botnet – KadNap

*Výzkumníci z Black Lotus Labs (Lumen) odhalili škodlivou síť, která pokračuje v provozu i přes pokusy o její odstranění.*

Co bylo objeveno
- Botnet KadNap ovlivnil přibližně 14 000 směrovačů a dalších síťových zařízení, většinou od výrobce Asus.

- Virování se šíří prostřednictvím zranitelností, které nebyly uživateli zařízení uzavřeny.
Většina infikovaných zařízení patří k modelu Asus, protože útočníci našli spolehlivý exploit právě pro tuto řadu.

Hodnocení hrozby
- Výzkumníci považují za nepravděpodobné využití nultých dnů (zranitelností, které dosud nejsou známy).

- V srpnu minulého roku bylo infikováno již 10 000 zařízení, většina z nich se nacházela v USA. Na Taiwanu, Hongkongu a Rusku byly také odhaleny několik set případů.

Technologie fungování
KadNap využívá peer‑to‑peer architekturu Kademlia – distribuované hashové tabulky, které skrývají IP adresy řídicích serverů. To činí botnet těžko detekovatelným a téměř neúprosným pro tradiční metody odstraňování.

> „Botnet se vyznačuje tím, že místo anonymních proxy používá decentralizovanou peer‑to‑peer síť“, – uvádějí Chris Formos a Steve Radd z Black Lotus v blogu Lumen.

> „Úmysl útočníků je vyhnout se odhalení a ztížit práci odborníků na kybernetickou bezpečnost“.

Jak reagují
- Přes svou odolnost vůči běžným metodám blokování, Black Lotus vyvinula způsob přerušení veškerého síťového provozu mezi infrastrukturou řízení botnetu a ostatními uzly.

- Tým zveřejňuje indikátory kompromitace do veřejných zdrojů, aby jiné organizace mohly rychle zablokovat přístup k KadNap.

Tímto způsobem představuje KadNap složitý, decentralizovaný botnet, který využívá zranitelnosti Asus a peer‑to‑peer síť pro skrývání svého řízení. Nicméně odborníci z Lumen již našli způsob, jak zastavit jeho šíření, a poskytují nástroje k ochraně sítě před dalším infikováním.