Pesquisadores afirmam ter descoberto uma botnet resistente a desmantelamentos, composta por 14 mil roteadores e outros dispositivos de rede—principalmente fabricados pela Asus—que foram conscritos em uma rede de proxy que transporta, de forma anônima, tráfego utilizado para atividades de cibercrime.
O malware, denominado KadNap, se instala explorando vulnerabilidades que não foram corrigidas por seus proprietários, de acordo com Chris Formosa, um pesquisador da empresa de segurança Lumen, especificamente de seu laboratório Black Lotus. A alta concentração de roteadores da Asus é provavelmente resultado dos operadores da botnet terem adquirido um exploit confiável para as vulnerabilidades que afetam esses modelos. Formosa afirmou que é improvável que os atacantes estejam utilizando qualquer vulnerabilidade zero-day na operação.
Uma botnet que se destaca entre as demais
A média diária de roteadores infectados gira em torno de 14 mil, um aumento em relação aos 10 mil registrados em agosto passado, quando o Black Lotus descobriu a botnet. Os dispositivos comprometidos estão majoritariamente localizados nos Estados Unidos, com populações menores em Taiwan, Hong Kong e Rússia. Uma das características mais marcantes do KadNap é seu design sofisticado de peer-to-peer, baseado em Kademlia, uma estrutura de rede que utiliza tabelas hash distribuídas para ocultar os endereços IP dos servidores de comando e controle. Esse design torna a botnet resistente à detecção e a desmantelamentos por métodos tradicionais.
“A botnet KadNap se destaca entre outras que suportam proxies anônimos por sua utilização de uma rede peer-to-peer para controle descentralizado,” escreveram Formosa e o colega pesquisador do Black Lotus, Steve Rudd, na quarta-feira. “A intenção deles é clara: evitar detecção e dificultar a proteção por parte dos defensores.”
Tabelas hash distribuídas têm sido amplamente utilizadas para criar redes peer-to-peer robustas, sendo notórias no BitTorrent e no Sistema de Arquivos Interplanetário. Em vez de ter um ou mais servidores centralizados que controlam diretamente os nós e fornecem os endereços IP de outros nós, as DHTs permitem que qualquer nó consulte outros nós para encontrar o dispositivo ou servidor desejado. A estrutura descentralizada e a substituição de endereços IP por hashes conferem à rede resiliência contra desmantelamentos ou ataques de negação de serviço.
