KadNap: Botnet σε 14.000 δρομολογητές αποκρύπτει την υποδομή του μέσα σε κίνηση P2P

Η ομάδα Black Lotus Labs της Lumen δημοσίευσε την Τετάρτη αναλυτική έκθεση για ένα νέο κακόβουλο λογισμικό που έχει λάβει την κωδική ονομασία KadNap. Σύμφωνα με τα στοιχεία που παρουσιάστηκαν, ο αριθμός των μολυσμένων συσκευών ανέρχεται κατά μέσο όρο σε 14.000 την ημέρα, αυξημένος από τις 10.000 που είχαν εντοπιστεί τον Αύγουστο του 2025, όταν και έγινε η πρώτη ανακάλυψη. Πάνω από το 60% των θυμάτων βρίσκεται στις Ηνωμένες Πολιτείες, ενώ μικρότερος αριθμός μολύνσεων έχει καταγραφεί σε Ταϊβάν, Χονγκ Κονγκ, Ρωσία, Ηνωμένο Βασίλειο, Αυστραλία, Βραζιλία, Γαλλία, Ιταλία και Ισπανία.

Στόχος είναι κυρίως δρομολογητές Asus για οικιακή και μικρή επαγγελματική χρήση (SOHO), αν και το KadNap έχει εντοπιστεί και σε άλλες κατηγορίες συσκευών περιμέτρου δικτύου. Ο ερευνητής Chris Formosa της Black Lotus Labs δήλωσε στο Ars Technica ότι η έντονη συγκέντρωση συσκευών Asus στο botnet πιθανότατα οφείλεται στο ότι οι χειριστές του απέκτησαν αξιόπιστο εκμεταλλευτή (exploit) για γνωστά κενά ασφαλείας συγκεκριμένων μοντέλων, χωρίς να αξιοποιούνται, σύμφωνα με την εκτίμησή του, κάποιες αγνώστου τύπου ευπάθειες (zero-days). Οι χρησιμοποιούμενοι φορείς εκμετάλλευσης δεν έχουν αποκαλυφθεί δημόσια.

Ο μηχανισμός μόλυνσης: από cron job σε αποκεντρωμένο δίκτυο κόμβων

Η αλυσίδα επίθεσης ξεκινά με ένα κακόβουλο shell script με την ονομασία aic.sh, το οποίο μεταφορτώνεται από έναν εξυπηρετητή ελέγχου. Το script δημιουργεί μια προγραμματισμένη εργασία (cron job) που εκτελείται κάθε ώρα, ανακτά εκ νέου το κακόβουλο φορτίο, το μετονομάζει σε .asusrouter και το αποθηκεύει στο μονοπάτι /jffs/.asusrouter. Αυτός ο μηχανισμός εξασφαλίζει την επιμονή της μόλυνσης ακόμα και μετά από επανεκκίνηση. Στη συνέχεια, αναπτύσσεται ένα αρχείο ELF με την ονομασία kad, το οποίο αποτελεί τον πυρήνα του KadNap. Το κακόβουλο λογισμικό υποστηρίζει συσκευές που εκτελούνται σε επεξεργαστές ARM και MIPS.

Κατά τη λειτουργία του, το KadNap συνδέεται σε εξυπηρετητή πρωτοκόλλου ώρας (NTP) για να ανακτήσει την τρέχουσα ώρα, την οποία συνδυάζει με το χρόνο λειτουργίας της συσκευής για να παραγάγει ένα μοναδικό κλειδί (hash). Με αυτό εντοπίζει άλλους μολυσμένους κόμβους στο αποκεντρωμένο δίκτυο. Παράλληλα, τα αρχεία fwr.sh και .sose αναλαμβάνουν να κλείσουν την πόρτα 22 (πρότυπη πόρτα SSH) και να παραδώσουν λίστα με συντεταγμένες IP/port των εξυπηρετητών ελέγχου.

Η αρχιτεκτονική Kademlia DHT που δυσκολεύει την εξουδετέρωση

Το διακριτικό τεχνικό χαρακτηριστικό του KadNap είναι η χρήση μιας παραλλαγμένης υλοποίησης του πρωτοκόλλου Kademlia, ενός κατανεμημένου πίνακα κατακερματισμού (Distributed Hash Table, DHT) που χρησιμοποιείται ευρέως σε νόμιμα δίκτυα P2P όπως το BitTorrent. Στην περίπτωση του KadNap, το πρωτόκολλο αξιοποιείται για να αποκρύψει τις διευθύνσεις IP των εξυπηρετητών εντολών και ελέγχου (C2): αντί για κεντρικό εξυπηρετητή, ο κόμβος αναζητά τους εξυπηρετητές C2 μέσω αναζήτησης DHT, ακριβώς όπως γίνεται με οποιοδήποτε αρχείο σε ένα νόμιμο BitTorrent swarm.

Αυτό καθιστά αναποτελεσματικές τις κλασικές μεθόδους αντιμετώπισης, όπως η κατάσχεση κεντρικού εξυπηρετητή ή η ανακατεύθυνση κακόβουλου domain (sinkholing). Επιπλέον, η κυκλοφορία του botnet αναμειγνύεται με τεράστιους όγκους νόμιμης κίνησης BitTorrent DHT, καθιστώντας την ανίχνευσή της με βαθύ έλεγχο πακέτων (DPI) ιδιαίτερα δαπανηρή. Αξίζει να σημειωθεί ότι οι τεχνικές DHT σε botnet έχουν εμφανιστεί και παλαιότερα, ιδίως στο Mozi (2019-2023), επομένως η αρχιτεκτονική αυτή δεν αποτελεί εφεύρεση του KadNap, αλλά ένα σχετικά ώριμο επιχειρησιακό πρότυπο.

Η υπηρεσία Doppelgänger και η εμπορευματοποίηση του botnet

Σύμφωνα με την έκθεση της Lumen, οι μολυσμένοι δρομολογητές δεν χρησιμοποιούνται ως τελικά εργαλεία επίθεσης αλλά ως ενδιάμεσοι κόμβοι ανωνυμοποίησης της κυκλοφορίας. Η υπηρεσία που τους εκμεταλλεύεται εμπορικά φέρεται με την ονομασία Doppelgänger (doppelganger.shop) και ισχυρίζεται ότι προσφέρει πρόσβαση μέσω οικιακών συνδέσεων (residential proxies) σε άνω των 50 χωρών. Η Lumen εκτιμά ότι το Doppelgänger αποτελεί "επανεκκίνηση" της παλιάς υπηρεσίας Faceless, η οποία είχε συνδεθεί με το κακόβουλο λογισμικό TheMoon. Η εν λόγω αξιολόγηση παρουσιάζεται ως εκτίμηση και όχι ως επιβεβαιωμένο συμπέρασμα.

Ερευνητές της Black Lotus Labs σημειώνουν ότι οι κόμβοι του Doppelgänger χρησιμοποιούνται ήδη από κακόβουλους παράγοντες. Το γεγονός ότι ορισμένες μολυσμένες συσκευές εμφανίζουν ταυτόχρονη μόλυνση από άλλα κακόβουλα λογισμικά δυσκολεύει την απόδοση συγκεκριμένων δραστηριοτήτων σε έναν μόνο παράγοντα, σύμφωνα με τους ίδιους.

Αντίμετρα: τι κάνει η Lumen και τι πρέπει να κάνουν οι κάτοχοι συσκευών

Η Lumen ανακοίνωσε ότι έχει αποκλείσει προληπτικά την κυκλοφορία από και προς την υποδομή του KadNap σε ολόκληρο το δίκτυο ραχοκοκαλιάς (backbone) της, και διανέμει δείκτες παραβίασης (Indicators of Compromise, IoC) σε δημόσιες ροές για να διευκολύνει άλλους παρόχους να λάβουν αντίστοιχα μέτρα. Παρά ταύτα, η δομή P2P του botnet σημαίνει ότι η πλήρης εξάρθρωσή του απαιτεί αποσύνδεση όλων των μολυσμένων κόμβων, κάτι που πρακτικά δεν είναι εφικτό στο σύνολό του.

Για τους κατόχους δρομολογητών, η επανεκκίνηση της συσκευής δεν επαρκεί, δεδομένης της επιμονής του μηχανισμού cron. Η αποκατάσταση απαιτεί πλήρη επαναφορά εργοστασιακών ρυθμίσεων (factory reset), ακολουθούμενη από ενημέρωση του firmware στην τελευταία έκδοση, χρήση ισχυρού κωδικού πρόσβασης στο διαχειριστικό πάνελ και απενεργοποίηση της απομακρυσμένης διαχείρισης (remote administration) εφόσον δεν είναι απολύτως απαραίτητη. Η Lumen παρέχει σελίδα επαλήθευσης με διευθύνσεις IP και κατακερματισμούς (hashes) αρχείων που οι χρήστες μπορούν να αναζητήσουν στα αρχεία καταγραφής (logs) της συσκευής τους.

Πρακτικά, το KadNap αξιοποιεί μία από τις πιο επίμονες αδυναμίες στην ασφάλεια του οικιακού εξοπλισμού δικτύου: τα firmware που δεν ενημερώνονται ποτέ. Σε συσκευές που παραμένουν εκτεθειμένες στο διαδίκτυο χωρίς καμία ενημέρωση ασφαλείας για χρόνια, η ύπαρξη αξιόπιστου exploit για γνωστά κενά είναι αρκετή για να εντάξει χιλιάδες νοικοκυριά σε ένα λειτουργικό εγκληματικό δίκτυο.

Εάν η τάση αύξησης που καταγράφεται από τον Αύγουστο του 2025 παραμείνει, το botnet ενδέχεται να συνεχίσει να επεκτείνεται. Η αρχιτεκτονική DHT έχει αποδειχθεί ανθεκτική σε παλαιότερες περιπτώσεις και, ελλείψει ευρύτερης συντονισμένης δράσης στο επίπεδο των παρόχων πρόσβασης και των κατασκευαστών, η πλήρης αντιμετώπισή της παραμένει ανοιχτό ζήτημα.

Πηγές

• Lumen Black Lotus Labs: Silence of the Hops: The KadNap Botnet (πρωτογενής έκθεση)
• Ars Technica: 14,000 routers are infected by malware that's highly resistant to takedowns
• The Hacker News: KadNap Malware Infects 14,000+ Edge Devices to Power Stealth Proxy Botnet
• GBHackers: KadNap Malware Infects 14,000+ Edge Devices