Исследователи в области безопасности обнаружили обширную сеть, состоящую из более чем 14 000 взломанных устройств — в основном маршрутизаторов, произведённых компанией Asus, — которые используются для маскировки и осуществления кибератак. Эта сеть спроектирована таким образом, чтобы её было сложно отключить, что делает её устойчивой к попыткам остановить вредоносную деятельность.
"Рынок красный? Это просто сезон скидок для умных инвесторов." - так говорят, чтобы не плакать. У нас — аналитика, которая помогает плакать реже.
Найти недооцененные активыПо словам исследователя Black Lotus Labs компании Lumen, Криса Формозы, вредоносное ПО — под названием KadNap — заражает устройства, используя недостатки безопасности, которые не были устранены. Большое количество затронутых маршрутизаторов Asus, вероятно, связано с тем, что злоумышленники нашли рабочий метод эксплуатации уязвимостей, характерных для этих моделей. Формоза не считает, что злоумышленники используют ранее неизвестные уязвимости (zero-days) в этой операции.
Бо́тнет, выделя́ющийся среди про́чих.
Около 14 000 маршрутизаторов заражаются каждый день, что является увеличением по сравнению с 10 000 в августе прошлого года, когда исследователи впервые выявили эту ботнет. Большинство зараженных устройств находятся в Соединенных Штатах, а меньшее количество — на Тайване, в Гонконге и России. Что делает эту ботнет, называемую KadNap, особенно примечательной, так это ее продвинутая, одноранговая структура. Она использует систему под названием Kademlia для скрытия местонахождения своих центральных серверов, что затрудняет ее обнаружение и отключение с помощью типичных методов.
Я изучал ботнет KadNap, и то, что действительно отличает его, — это способ управления. В отличие от многих аналогичных ботнетов, полагающихся на центральные серверы, KadNap использует одноранговую сеть. Я и мои коллеги из Black Lotus считаем, что это преднамеренный выбор — они пытаются остаться незамеченными и значительно усложнить защиту от их атак.
Распределенные хеш-таблицы (DHTs) являются основой надежных одноранговых сетей, таких как BitTorrent и Inter-Planetary File System. Вместо того, чтобы полагаться на центральные серверы для управления соединениями между пользователями, DHTs позволяют каждому пользователю напрямую запрашивать у других информацию, которая им нужна. Этот децентрализованный подход, использующий уникальные идентификаторы вместо IP-адресов, делает сеть более устойчивой к сбоям и атакам.
Распределенные хеш-таблицы, или DHTs, могут быть сложны для понимания. По сути, это способ хранения информации на множестве компьютеров в сети. Этот дизайн позволяет сети легко расширяться – чем больше компьютеров присоединяется, тем более равномерно распределяются данные. DHTs также делают сети очень надежными. Если один компьютер выходит из строя, сеть автоматически находит другие источники информации. В идеале, единственный способ полностью отключить сеть – это отключить каждый компьютер в ней.
Kademlia организует информацию, используя 160-битную систему как для идентификаторов данных (ключей), так и для идентификаторов узлов. Каждый узел в сети хранит ключи, принадлежащие другим узлам, располагая их на основе того, насколько они похожи на его собственный ID. Сходство определяется с помощью математического вычисления, называемого XOR-расстоянием, которое помогает отобразить сеть. При поиске данных узел запрашивает у других информацию, используя эту метрику расстояния, чтобы найти узлы, наиболее близкие к желаемому ключу, пока не будет найдено совпадение. KadNap — это модифицированная версия Kademlia, которая получает ключ поиска от узла BitTorrent.
Formosa объяснил:
Распределенные хеш-таблицы (DHTs) помогают находить конкретную информацию, например, находить того, кто знает секретный код. Вы начинаете с запроса к нескольким начальным серверам, спрашивая, знают ли они или кто-то поблизости, этот код. Эти серверы могут не полностью понимать код, но могут указать вам на других, кто может знать. Вы продолжаете спрашивать этих ‘соседей’, пока не доберетесь до того, кто узнает код. В этом сценарии этот человек предоставляет файл для открытия соединения на порту 22 и другой файл, содержащий адрес сервера командного управления, к которому вам нужно подключиться.
Несмотря на то, что традиционные методы отключения злонамеренной сети не сработали, Black Lotus утверждает, что нашла способ полностью заблокировать все коммуникации с серверов злоумышленников и обратно. Они также делятся информацией об атаке с другими, чтобы все могли заблокировать доступ также.
Doppelganger – это платная услуга, которая скрывает онлайн-активность пользователей, направляя их интернет-трафик через соединения зараженных устройств – в основном обычных домашних интернет-подключений. Это обеспечивает быстрый и анонимный способ доступа к веб-сайтам, которые могут быть заблокированы или ограничены, используя надежные соединения с хорошей репутацией.
Если вы беспокоитесь о том, что ваше устройство может быть заражено, вы можете проверить эту страницу для получения конкретных деталей, таких как IP-адреса и хеши файлов, найденные в его журналах. Чтобы действительно очистить зараженное устройство, вам потребуется сбросить его до заводских настроек. Имейте в виду, что простая перезагрузка зараженного маршрутизатора не решит проблему, поскольку вредоносное программное обеспечение автоматически перезапускается вместе с устройством. Также важно поддерживать актуальность прошивки вашего устройства, использовать надежные пароли для административного доступа и отключать удаленный доступ, если он вам абсолютно не нужен.
Смотрите также
- Я думал, что этот Android-телефон за 250 долларов станет катастрофой. Это не было
- OnePlus 15 против Oppo Find X9 Pro: Флагманы в сравнении
- 20 лучших циферблатов Samsung Galaxy Watch, которые вам стоит использовать
- Разблокируйте DeepSeek: обойдите цензуру за 10 минут!
- Всё, что мы знаем о 24 сезоне NCIS.
- 6 лучших планшетов для путешествий в 2024 году
- Обзор Canon Color imageClass LBP633Cdw: возвращение в 90-е?
- Все 10 фильмов «Пилы»: от худшего к лучшему
- Лучшие ремешки Google Pixel Watch 3 на 2024 год
- NVIDIA хочет, чтобы геймеры выбирали подходящий пресет модели DLSS 4.5 для своей RTX GPU.
2026-03-12 01:25