Содержание:
Исследователи из Black Lotus Labs компании Lumen обнаружили устойчивый к удалению ботнет из 14 тыс. маршрутизаторов и других сетевых устройств, в основном производства Asus.
Обзор Ryzen 7 9850X3D: три процента за двадцать баксов
Обзор ноутбука HONOR MagicBook X16 2026: как раньше, только лучше
Обзор Samsung Galaxy Z TriFold: тройной складной смартфон по цене квартиры в Воркуте
Ryzen и 16 Гбайт DDR5: как сэкономить на памяти так, чтобы не лишиться 15 % производительности
Компьютер месяца, спецвыпуск: эпоха отката, или Как дефицит чипов памяти влияет на выбор железа для игрового ПК
По словам исследователей, вредоносное ПО, получившее название KadNap, распространяется, используя уязвимости, которые не были устранены владельцами сетевого оборудования. Большое количество маршрутизаторов Asus, видимо, связано с тем, что операторы ботнета получили надёжный эксплойт для уязвимостей, имеющихся у моделей этого вендора. В Black Lotus Labs считают маловероятными, что злоумышленники используют для этого какие-либо уязвимости нулевого дня.
В августе прошлого года, когда Black Lotus обнаружила этот ботнет, количество заражённых маршрутизаторов составляло 10 тысяч. В подавляющем большинстве устройства находились в США, также их обнаружили на Тайване, в Гонконге и России.
KadNap отличается сложной пиринговой архитектурой, основанной на Kademlia, сетевой структуре, использующей распределённые хеш-таблицы для сокрытия IP-адресов серверов управления. Это обеспечивает ботнету устойчивость к обнаружению и удалению традиционными методами.
«Ботнет KadNap выделяется среди других, использующих анонимные прокси-серверы, благодаря использованию пиринговой сети для децентрализованного управления, — сообщили Крис Формоса (Chris Formosa) и его коллега, исследователь Black Lotus Стив Радд (Steve Rudd) в блоге Lumen. — Намерение злоумышленников ясно: избежать обнаружения и затруднить работу ИБ-специалистов».
Несмотря на устойчивость к обычным методам блокировки, Black Lotus заявляет, что разработала способ блокировки всего сетевого трафика к инфраструктуре управления ботнетом и от неё. Также Black Lotus распространяет индикаторы компрометации в общедоступные каналы, чтобы помочь другим пользователям заблокировать доступ к ботнету.