Botnet de milhares de roteadores infectados é difícil de remover – contudo, há um método eficaz de combate.

Um novo botnet resiliente foi detectado – KadNap

*Pesquisadores da Black Lotus Labs (Lumen) identificaram uma rede maliciosa que continua operando apesar das tentativas de removê-la.*

O que encontraram
- O botnet KadNap afetou cerca de 14.000 roteadores e outros dispositivos de rede, na maioria deles fabricados pela Asus.

- O vírus se espalha através de vulnerabilidades que não foram corrigidas pelos proprietários do equipamento.
A maioria dos dispositivos infectados pertence ao modelo Asus, pois os atacantes encontraram um exploit confiável especificamente para essa linha.

Avaliação da ameaça
- Os pesquisadores consideram improvável o uso de zero-days (vulnerabilidades ainda desconhecidas).

- Em agosto do ano passado já havia 10.000 dispositivos infectados, a maioria nos EUA. Também foram detectadas várias centenas de ocorrências em Taiwan, Hong Kong e Rússia.

Tecnologia de operação
KadNap utiliza uma arquitetura peer-to-peer Kademlia – tabelas hash distribuídas que ocultam os endereços IP dos servidores de comando. Isso torna o botnet difícil de detectar e quase imune a métodos tradicionais de remoção.

> “O botnet se destaca por usar uma rede P2P descentralizada em vez de proxies anônimos”, observam Chris Formos e Steve Radd da Black Lotus no blog da Lumen.
> “A intenção dos atacantes é evitar detecção e dificultar o trabalho dos especialistas em segurança da informação”.

Como eles respondem
- Apesar da resistência a métodos comuns de bloqueio, a Black Lotus desenvolveu uma forma de interromper todo o tráfego de rede entre a infraestrutura de comando do botnet e os demais nós.

- A equipe publica indicadores de comprometimento em fontes abertas para que outras organizações possam bloquear rapidamente o acesso ao KadNap.

Assim, o KadNap representa um botnet complexo e descentralizado que usa vulnerabilidades da Asus e uma rede P2P para ocultar seu controle. No entanto, especialistas da Lumen já encontraram uma maneira de interromper sua propagação e fornecem ferramentas para proteger a rede contra infecções futuras.