Allarme Router Infetti Una Botnet Resistente alle Rimozioni Mette a Rischio la Sicurezza Online
Un’allarmante scoperta ha scosso il mondo della sicurezza informatica una botnet composta da 14000 router e altri dispositivi di rete, principalmente del marchio Asus, ĆØ stata infettata da un malware altamente resistente alle operazioni di rimozione. La ricerca, condotta da esperti di sicurezza, rivela l’esistenza di KadNap, un malware che sfrutta vulnerabilitĆ non corrette per creare una rete proxy anonima utilizzata per attivitĆ criminali online.
La Natura della Minaccia KadNap
Il malware KadNap si insedia sfruttando le vulnerabilitĆ dei dispositivi, in particolare dei router Asus, probabilmente a causa di un exploit affidabile acquisito dagli operatori della botnet. La botnet, che conta circa 14000 router infetti al giorno, con un aumento rispetto ai 10000 di agosto, opera principalmente negli Stati Uniti, con presenze significative a Taiwan, Hong Kong e Russia. Una delle caratteristiche distintive di KadNap ĆØ il suo sofisticato design peer-to-peer basato su Kademlia, una struttura di rete che utilizza tabelle hash distribuite per nascondere gli indirizzi IP dei server di comando e controllo. Questo design rende la botnet resistente al rilevamento e alle rimozioni attraverso metodi tradizionali.
Il ricercatore Chris Formosa di Black Lotus Labs ha sottolineato che l’intento dei creatori di KadNap ĆØ chiaro evitare il rilevamento e rendere difficile la protezione per i difensori. Le tabelle hash distribuite sono state a lungo utilizzate per creare reti peer-to-peer robuste, come BitTorrent e Inter-Planetary File System. Invece di avere server centralizzati che controllano direttamente i nodi, le DHT consentono a qualsiasi nodo di interrogare altri nodi per il dispositivo o il server che sta cercando. Questa struttura decentralizzata e la sostituzione degli indirizzi IP con hash conferiscono alla rete resilienza contro le rimozioni o gli attacchi denial of service.
Come Funziona KadNap
Kademlia utilizza uno spazio a 160 bit per designare chiavi e ID dei nodi, entrambi assegnati a ciascun nodo. I nodi quindi memorizzano le chiavi di altri nodi, organizzate in base alla loro somiglianza con l’ID del nodo che le memorizza. La prossimitĆ viene misurata dalla distanza XOR, un metodo matematico per mappare una rete. Quando un nodo interroga un altro nodo, utilizza questa metrica per individuare altri nodi con la distanza piĆ¹ vicina alla chiave che sta cercando, fino a trovare una corrispondenza. KadNap, una variante di Kademlia, ottiene la chiave da cercare tramite un nodo BitTorrent. Formosa ha spiegato che le DHT aiutano ad avvicinarsi sempre di piĆ¹ a un obiettivo. Si raggiunge prima alcuni nodi BitTorrent di ingresso e si dice āehi, ho questa passphrase segreta. Sto cercando a chi darlaā. La passphrase viene quindi data ad alcuni āviciniā che dicono āah ok, non capisco appieno questa passphrase, ma ĆØ familiare e qui ci sono persone che potrebbero sapere cosa significaā. Il processo continua fino a raggiungere qualcuno che dice āSƬ questa ĆØ la mia passphrase, benvenutoā.
Implicazioni e Contromisure
Nonostante la resistenza ai metodi di rimozione tradizionali, Black Lotus ha sviluppato un modo per bloccare tutto il traffico di rete da o verso l’infrastruttura di controllo. Il laboratorio sta anche distribuendo gli indicatori di compromissione per aiutare altre parti a bloccare l’accesso. I dispositivi infetti vengono utilizzati per trasportare il traffico per Doppelganger, un servizio proxy a pagamento che incanala il traffico Internet dei clienti attraverso le connessioni Internet, principalmente residenziali, di persone ignare. Per proteggere i propri dispositivi, ĆØ fondamentale ripristinarli alle impostazioni di fabbrica, poichĆ© KadNap memorizza uno script shell che viene eseguito al riavvio del router. Inoltre, ĆØ necessario assicurarsi che tutti gli aggiornamenti del firmware siano installati, che le password amministrative siano robuste e che l’accesso remoto sia disabilitato, a meno che non sia necessario.
