Cercetătorii au descoperit recent o rețea de tip botnet, alcătuită din aproximativ 14.000 de routere și alte dispozitive de rețea, majoritatea produse de Asus, care au fost transformate într-o rețea proxy utilizată pentru trafic anonim implicat în activități de crimă cibernetică. Această rețea, denumită KadNap, a fost identificată în principal în Statele Unite, dar include și dispozitive din Taiwan, Hong Kong și Rusia.
Malware-ul KadNap infectează routerele prin exploatarea vulnerabilităților care nu au fost remediate de proprietarii acestora, a explicat Chris Formosa, cercetător la firma de securitate Lumen’s Black Lotus Labs, pentru Ars. Prevalența routerelor Asus în această rețea este probabil datorată faptului că operatorii botnetului au găsit un exploit fiabil pentru vulnerabilitățile specific acestor modele. Formosa a menționat că este puțin probabil ca atacatorii să folosească vulnerabilități zero-day în această operațiune.
Numărul routerelor infectate a crescut de la 10.000 în augustul trecut, când Black Lotus a descoperit botnetul, la aproximativ 14.000 în prezent. Una dintre caracteristicile remarcabile ale KadNap este designul său sofisticat de tip peer-to-peer bazat pe Kademlia, o structură de rețea care folosește tabele hash distribuite pentru a ascunde adresele IP ale serverelor de comandă și control. Acest design face botnetul greu de detectat și de neutralizat prin metode tradiționale.
“Botnetul KadNap se distinge printre alte rețele care susțin proxy-uri anonime prin utilizarea unei rețele peer-to-peer pentru control descentralizat”, au scris miercuri Formosa și colegul său de la Black Lotus, Steve Rudd. “Intenția lor este clară: să evite detectarea și să îngreuneze apărarea.”
Tabelele hash distribuite sunt utilizate de mult timp pentru a crea rețele peer-to-peer rezistente, cele mai notabile fiind BitTorrent și Inter-Planetary File System. În loc să aibă unul sau mai multe servere centralizate care controlează direct nodurile și le furnizează adresele IP ale altor noduri, tabelele hash distribuite permit oricărui nod să interogheze alte noduri pentru dispozitivul sau serverul pe care îl caută. Structura descentralizată și substituirea adreselor IP cu hash-uri conferă rețelei rezistență împotriva neutralizărilor sau atacurilor de tip denial of service.
Conceptul de tabele hash distribuite poate fi dificil de înțeles. Pe scurt, acestea sunt structuri de date stocate pe mai mulți parteneri de rețea, așa cum este descris aici. Această configurație face rețeaua scalabilă. Cu cât sunt mai multe noduri în rețea, cu atât distribuția elementelor este mai bună. Tabelele hash distribuite asigură și toleranța la erori ale rețelei. Când un nod părăsește rețeaua, nodurile se orientează către alte locații pentru căutări. În teorie, singurul mod de a doborî rețeaua este să deconectezi toate nodurile conectate.
Kademlia utilizează un spațiu de 160 de biți pentru a desemna (1) cheile – care sunt șiruri de biți unice obținute prin hash-uirea unui bloc de date – și (2) ID-urile nodurilor, ambele fiind atribuite fiecărui nod. Nodurile stochează apoi cheile altor noduri, organizate în funcție de asemănarea lor cu ID-ul nodului care le stochează. Proximitatea este măsurată prin distanța XOR, un mijloc matematic de cartografiere a unei rețele. Când un nod interoghează un alt nod, acesta folosește
Sursa: Ars Tehnica Technology
Poll: Care este cel mai eficient mod de protecție împotriva malware-ului KadNap pentru dispozitivele de rețea?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply