14.000 Router von dem abschaltungsresistenten KadNap-Botnet betroffen

Ein Botnet, das sich dem Untergang widersetzt

Sicherheitsforscher des Black Lotus Labs von Lumen haben ein ausgefeiltes Botnet entdeckt, das heimlich etwa 14.000 Router und Netzwerkgeräte – überwiegend Asus-Verbrauchermodelle – in ein Proxy-Netzwerk für cyberkriminelle Operationen versklavt hat. Die Malware, die die Forscher KadNap genannt haben, unterscheidet sich von der überwiegenden Mehrheit der Botnets durch eine Peer-to-Peer-Architektur, die es außerordentlich schwierig macht, sie abzuschalten.

Die Infektionszahl ist von etwa 10.000 Geräten, als Black Lotus das Botnet im letzten August zum ersten Mal entdeckte, auf 14.000 Geräte Anfang März angewachsen. Die überwiegende Mehrheit der kompromittierten Geräte befindet sich in den Vereinigten Staaten, mit kleineren Ansammlungen in Taiwan, Hongkong und Russland. Die hohe Konzentration von Asus-Routern unter den Opfern deutet darauf hin, dass die Botnet-Betreiber einen zuverlässigen Exploit erworben haben, der auf Schwachstellen in spezifischen Asus-Firmware-Versionen abzielt.

Wie sich KadNap ausbreitet und bestehen bleibt

Nach Angaben des Black Lotus-Forschers Chris Formosa erhält KadNap seinen anfänglichen Fuß in der Tür durch die Ausnutzung bekannter, aber ungepatchter Schwachstellen in Consumer-Routern. Dies sind keine Zero-Day-Exploits, die spezialisierte Kenntnisse erfordern – es sind öffentlich dokumentierte Sicherheitslücken, für die Hersteller Patches veröffentlicht haben, die aber Gerätebesitzer nie angewendet haben. Die Lücke zwischen Patch-Verfügbarkeit und Patch-Installation bleibt eines der hartnäckigsten Probleme in der Cybersicherheit, und Botnets wie KadNap nutzen sie rücksichtslos aus.

Sobald KadNap auf einem Router installiert ist, verwandelt es das Gerät in einen Knoten in einem verteilten Proxy-Netzwerk. Der Datenverkehr von cyberkriminellen Operationen – Betrug, Credential Stuffing, Web Scraping und andere böswillige Aktivitäten – wird durch die kompromittierten Router geleitet, was ihn so erscheinen lässt, als würde er von legitimen Residential-IP-Adressen stammen. Dieser Residential-Proxy-Dienst wird dann an andere Kriminelle verkauft und bietet den Botnet-Betreibern einen stetigen Einnahmestrom.

Was KadNap besonders gefährlich macht, ist die Verwendung eines Peer-to-Peer-Kommunikationsprotokolls basierend auf Kademlia, einem bekannten verteilten Hash-Tabellen-Algorithmus, der ursprünglich für legitime Dateifreigabe-Anwendungen entwickelt wurde. In einem traditionellen Botnet erhalten kompromittierte Geräte Befehle von einem zentralen Command-and-Control-Server. Behörden und Sicherheitsteams können diese Botnets unterbrechen, indem sie den Befehls-Server identifizieren und beschlagnahmen, was effektiv den Kopf der Schlange abschneidet.

Der Kademlia-Vorteil

KadNaps Kademlia-basierte Architektur beseitigt diesen Single Point of Failure. Anstatt sich mit einem zentralen Server zu verbinden, verwaltet jeder infizierte Router eine Routing-Tabelle anderer infizierter Geräte. Befehle propagieren in einer verteilten Weise durch das Netzwerk und hüpfen von Knoten zu Knoten mittels des effizienten Routing-Algorithmus des Kademlia-Protokolls. Es gibt keinen zentralen Server, der beschlagnahmt werden kann, keine einzelne IP-Adresse, die blockiert werden kann, und keinen offensichtlichen Engpass, wo das Netzwerk unterbrochen werden kann.

Wenn einige Knoten bereinigt oder offline genommen werden, reorganisieren die verbleibenden Knoten automatisch ihre Routing-Tabellen, um die Netzwerkkonnektivität aufrechtzuerhalten. Das Kademlia-Protokoll wurde speziell dafür entwickelt, robust gegen Node Churn zu sein – Geräte, die das Netzwerk beitreten und verlassen – was es natürlicherweise widerstandsfähig gegen teilweise Abschaltungen macht. Das Botnet kann einen großen Anteil seiner Knoten verlieren und mit minimaler Störung weiterhin funktionieren.

Dieses Design stellt eine bedeutsame Weiterentwicklung in der Botnet-Architektur dar. Während Peer-to-Peer-Botnets seit Jahren existieren, ist KadNaps Implementierung von Kademlia bemerkenswert ausgefeilte und nutzt kryptografische Überprüfung von Routing-Tabelleneinträgen, um Sicherheitsforscher daran zu hindern, falsche Knoten in das Netzwerk einzuspeisen.

Die Asus-Verbindung

Die hohe Konzentration von Asus-Routern unter KadNaps Opfern wirft Fragen zur Sicherheitsposition dieser weit verbreiteten Verbrauchergeräte auf. Asus-Consumer-Router waren in den letzten Jahren Gegenstand mehrerer Sicherheitsempfehlungen, mit Schwachstellen, die von Authentifizierungs-Umgehungen bis zu Remote Code Execution-Fehlern reichen. Während Asus regelmäßig Firmware-Updates zur Behebung dieser Probleme veröffentlicht, aktualisieren die überwiegende Mehrheit der Consumer-Router-Besitzer ihre Firmware nie.

Anders als Smartphones und Computer, die normalerweise automatisch aktualisiert werden, erfordern die meisten Consumer-Router manuelle Firmware-Updates, die das Herunterladen von Dateien von der Website des Herstellers und das Hochladen über die Router-Verwaltungsoberfläche beinhalten. Viele Benutzer sind sich nicht bewusst, dass ihr Router überhaupt Firmware hat, geschweige denn, dass sie aktualisiert werden muss. Dies schafft eine ständige Population anfälliger Geräte, die Botnet-Betreiber nach Belieben ausnutzen können.

Verteidigung gegen KadNap

Für einzelne Router-Besitzer ist die effektivste Verteidigung einfach: Aktualisieren Sie die Firmware Ihres Routers. Asus bietet Firmware-Updates über seine Support-Website und hat eine automatische Update-Funktion in neueren Modellen eingeführt. Das Ändern von Standard-Administrator-Passwörtern und das Deaktivieren des Remote-Management-Zugriffs aus dem Internet sind ebenfalls wesentliche Schritte, die die am häufigsten ausgebeuteten Angriffsvektoren schließen.

Für die breitere Sicherheitsgemeinde hebt KadNap die Notwendigkeit neuer Ansätze zu Botnet-Abschaltungen hervor. Traditionelle Methoden, die auf der Beschlagnahme von Command-and-Control-Infrastruktur beruhen, sind gegen Peer-to-Peer-Designs ineffektiv. Alternative Strategien könnten koordinierte Schwachstellenoffenlegung und erzwungenes Patching durch ISP-Kooperation, automatische Erkennung von Botnet-Verkehrsmustern auf Netzwerkebene oder rechtliche Rahmenbedingungen beinhalten, die Gerätehersteller für den Verkauf von Produkten mit bekannten Sicherheitsmängeln zur Rechenschaft ziehen.

Mit der Vermehrung von Consumer-Internet-of-Things-Geräten – Router, Kameras, Smart Speaker und Geräte – wächst die Menge der schlecht gepflegten, internetverbundenen Geräte, die für Botnet-Rekrutierung verfügbar sind, weiterhin. KadNap ist eine Warnung vor dem, was passiert, wenn diese Menge auf ausgefeilte Malware-Entwicklung trifft.

Dieser Artikel basiert auf Berichten von Ars Technica. Lesen Sie den Original-Artikel.