I ricercatori affermano di aver scoperto una botnet resistente al takedown composta da 14.000 router e altri dispositivi di rete, realizzati principalmente da Asus, incorporati in una rete proxy che trasporta in modo anonimo il traffico utilizzato per i crimini informatici.
Il malware, soprannominato KadNap, sfrutta le vulnerabilità non scoperte dai suoi proprietari, ha detto ad Ars Chris Formosa, un ricercatore presso la società di sicurezza Black Lotus Labs di Lumen. L’elevata concentrazione di router Asus è probabilmente dovuta al fatto che gli operatori botnet dispongono di un exploit affidabile per la vulnerabilità che colpisce tali modelli. Ha detto che è improbabile che gli aggressori stiano usando attacchi zero-day.
Una botnet che si distingue tra le altre
Il numero di router infetti è in media di circa 14.000 al giorno, rispetto ai 10.000 dello scorso agosto, quando è stata scoperta la botnet Black Lotus. I dispositivi compromessi si trovano prevalentemente negli Stati Uniti, con popolazioni più piccole a Taiwan, Hong Kong e Russia. Una delle caratteristiche più importanti di KadNap è un sofisticato design peer-to-peer KademliaUn’architettura di rete che utilizza tabelle hash distribuite per nascondere gli indirizzi IP dei server di comando e controllo. Il design rende le botnet immuni al rilevamento e alla rimozione tramite metodi tradizionali.
“La botnet Cadnap si distingue tra le altre che supportano proxy anonimi che utilizzano reti peer-to-peer per il controllo decentralizzato”, hanno affermato Formosa e il collega ricercatore di Black Lotus Steve Rudd. Ha scritto mercoledì. “Il loro obiettivo è chiaro: evitare di essere scoperti e rendere difficile la difesa dei difensori”.
Le tabelle hash distribuite sono state a lungo utilizzate per costruire robuste reti peer-to-peer, in particolare BitTorrent e File system interplanetario. Invece di avere uno o più server centralizzati che controllano direttamente i nodi e forniscono loro gli indirizzi IP di altri nodi, DHT consente a qualsiasi nodo di interrogare altri nodi per i dispositivi o i server che sta cercando. La struttura decentralizzata e la sostituzione degli indirizzi IP con hash conferiscono alla rete resilienza contro attacchi di rimozione o negazione del servizio.
