14,000 routers infectados por botnet KadNap resistente a desactivación

Un Botnet Que Se Niega a Desaparecer

Investigadores de seguridad de Black Lotus Labs de Lumen han descubierto un botnet sofisticado que ha esclavizado silenciosamente aproximadamente 14,000 routers y dispositivos de red — predominantemente modelos de consumidor Asus — en una red proxy que sirve operaciones de ciberdelincuentes. El malware, que los investigadores han denominado KadNap, se distingue de la gran mayoría de botnets por su arquitectura peer-to-peer que lo hace extraordinariamente difícil de eliminar.

El número de infecciones ha crecido de aproximadamente 10,000 dispositivos cuando Black Lotus descubrió el botnet en agosto pasado a 14,000 a principios de marzo. La abrumadora mayoría de dispositivos comprometidos se encuentran en Estados Unidos, con racimos más pequeños en Taiwán, Hong Kong y Rusia. La alta concentración de routers Asus entre las víctimas sugiere que los operadores del botnet han adquirido un exploit confiable que apunta a vulnerabilidades en versiones específicas de firmware de Asus.

Cómo se Propaga y Persiste KadNap

Según el investigador de Black Lotus Chris Formosa, KadNap obtiene su primer acceso explotando vulnerabilidades conocidas pero sin parches en routers de consumo. Estos no son exploits de día cero que requieren habilidades especializadas — son fallos de seguridad documentados públicamente para los cuales los fabricantes han emitido parches, pero que los propietarios de dispositivos nunca han aplicado. La brecha entre la disponibilidad de parches y la instalación de parches sigue siendo uno de los problemas más persistentes de la seguridad cibernética, y botnets como KadNap la explotan sin piedad.

Una vez instalado en un router, KadNap transforma el dispositivo en un nodo en una red proxy distribuida. El tráfico de operaciones de ciberdelincuentes — fraude, credential stuffing, web scraping y otras actividades maliciosas — se enruta a través de los routers comprometidos, haciendo que parezca originarse de direcciones IP residenciales legítimas. Este servicio de proxy residencial se vende luego a otros criminales, proporcionando a los operadores del botnet un flujo de ingresos constante.

Lo que hace a KadNap particularmente peligroso es su uso de un protocolo de comunicación peer-to-peer basado en Kademlia, un algoritmo de tabla hash distribuida bien conocido originalmente desarrollado para aplicaciones de compartición de archivos legítima. En un botnet tradicional, los dispositivos comprometidos reciben instrucciones de un servidor de comando y control central. Las fuerzas del orden y los equipos de seguridad pueden interrumpir estos botnets identificando y confiscando el servidor de comando, cortando efectivamente la cabeza de la serpiente.

La Ventaja de Kademlia

La arquitectura basada en Kademlia de KadNap elimina este único punto de fallo. En lugar de conectarse a un servidor central, cada router infectado mantiene una tabla de enrutamiento de otros dispositivos infectados. Los comandos se propagan a través de la red de manera distribuida, saltando de nodo en nodo utilizando el algoritmo de enrutamiento eficiente del protocolo Kademlia. No hay servidor central para confiscar, no hay dirección IP única para bloquear, y no hay punto de estrangulamiento obvio donde la red pueda ser interrumpida.

Si algunos nodos se limpian o se desconectan, los nodos restantes reorganizan automáticamente sus tablas de enrutamiento para mantener la conectividad de la red. El protocolo Kademlia fue específicamente diseñado para ser resiliente a cambios de nodos — dispositivos que se unen y abandonan la red — lo que lo hace naturalmente resistente a desactivaciones parciales. El botnet puede perder una fracción significativa de sus nodos y continuar operando con mínima disrupción.

Este diseño representa una evolución significativa en la arquitectura de botnets. Mientras que los botnets peer-to-peer existen desde hace años, la implementación de Kademlia de KadNap es notablemente sofisticada, utilizando verificación criptográfica de entradas de tabla de enrutamiento para prevenir que investigadores de seguridad inyecten nodos falsos en la red como táctica de disrupción.

La Conexión Asus

La alta concentración de routers Asus entre las víctimas de KadNap plantea preguntas sobre la postura de seguridad de estos dispositivos ampliamente utilizados por consumidores. Los routers de consumo Asus han sido objeto de múltiples avisos de seguridad en años recientes, con vulnerabilidades que van desde omisiones de autenticación hasta fallos de ejecución remota de código. Aunque Asus lanza regularmente actualizaciones de firmware para abordar estos problemas, la gran mayoría de propietarios de routers de consumo nunca actualiza su firmware.

A diferencia de smartphones y computadoras, que típicamente se actualizan automáticamente, la mayoría de routers de consumo requieren actualizaciones de firmware manual que implican descargar archivos del sitio web del fabricante e cargarlos a través de la interfaz de administración del router. Muchos usuarios no son conscientes de que su router tiene firmware, y mucho menos de que necesita actualización. Esto crea una población permanente de dispositivos vulnerables que los operadores de botnets pueden explotados a voluntad.

Defenderse Contra KadNap

Para los propietarios de routers individuales, la defensa más efectiva es directa: actualizar el firmware de su router. Asus proporciona actualizaciones de firmware a través de su sitio web de soporte e ha introducido una función de actualización automática en modelos más nuevos. Cambiar contraseñas de administrador predeterminadas y deshabilitar el acceso de administración remota desde Internet también son pasos esenciales que cierran los vectores de ataque más comúnmente explotados.

Para la comunidad de seguridad más amplia, KadNap destaca la necesidad de nuevos enfoques para desmantelar botnets. Los métodos tradicionales que se basan en confiscar infraestructura de comando y control son inefectivos contra diseños peer-to-peer. Las estrategias alternativas podrían incluir divulgación coordinada de vulnerabilidades y parches forzados a través de cooperación de ISP, detección automatizada de patrones de tráfico de botnets a nivel de red, o marcos legales que responsabilicen a los fabricantes de dispositivos por enviar productos con deficiencias de seguridad conocidas.

A medida que proliferan los dispositivos Internet de las Cosas de consumo — routers, cámaras, altavoces inteligentes y electrodomésticos — el grupo de dispositivos conectados a Internet mal mantenidos disponibles para reclutamiento de botnets continúa creciendo. KadNap es una advertencia de lo que sucede cuando ese grupo se encuentra con ingeniería de malware sofisticada.

Este artículo se basa en reportes de Ars Technica. Lee el artículo original.