14 000 routeurs compromis par le botnet KadNap résistant aux démantèlements

Un Botnet Qui Refuse de Mourir

Les chercheurs en sécurité du Black Lotus Labs de Lumen ont découvert un botnet sophistiqué qui a tranquillement asservi environ 14 000 routeurs et appareils réseau — principalement des modèles de consommation Asus — dans un réseau proxy servant les opérations de cybercriminalité. Le logiciel malveillant, que les chercheurs ont nommé KadNap, se distingue de la grande majorité des botnets par son architecture pair-à-pair qui le rend extraordinairement difficile à désactiver.

Le nombre d'infections a augmenté d'environ 10 000 appareils lorsque Black Lotus a découvert le botnet en août dernier à 14 000 début mars. La grande majorité des appareils compromis sont situés aux États-Unis, avec des groupes plus petits à Taiwan, Hong Kong et Russie. La forte concentration de routeurs Asus parmi les victimes suggère que les opérateurs du botnet ont acquis un exploit fiable ciblant les vulnérabilités dans des versions spécifiques du micrologiciel Asus.

Comment KadNap se Propage et Persiste

Selon le chercheur de Black Lotus Chris Formosa, KadNap gagne son premier accès en exploitant des vulnérabilités connues mais non corrigées dans les routeurs de consommation. Ce ne sont pas des exploits de jour zéro nécessitant des compétences spécialisées — ce sont des défauts de sécurité documentés publiquement pour lesquels les fabricants ont émis des correctifs, mais que les propriétaires d'appareils n'ont jamais appliqués. L'écart entre la disponibilité des correctifs et l'installation des correctifs reste l'un des problèmes les plus persistants de la cybersécurité, et les botnets comme KadNap l'exploitent impitoyablement.

Une fois installé sur un routeur, KadNap transforme l'appareil en nœud d'un réseau proxy distribué. Le trafic des opérations de cybercriminalité — fraude, credential stuffing, web scraping et autres activités malveillantes — est acheminé via les routeurs compromis, ce qui le fait sembler provenir d'adresses IP résidentielles légitimes. Ce service de proxy résidentiel est alors vendu à d'autres criminels, fournissant aux opérateurs du botnet un flux de revenus constant.

Ce qui rend KadNap particulièrement dangereux est son utilisation d'un protocole de communication pair-à-pair basé sur Kademlia, un algorithme de table de hash distribuée bien connu initialement développé pour les applications légitimes de partage de fichiers. Dans un botnet traditionnel, les appareils compromis reçoivent des instructions d'un serveur de commande et contrôle central. Les forces de l'ordre et les équipes de sécurité peuvent désactiver ces botnets en identifiant et en saisissant le serveur de commande, coupant efficacement la tête du serpent.

L'Avantage de Kademlia

L'architecture basée sur Kademlia de KadNap élimine ce point unique de défaillance. Au lieu de se connecter à un serveur central, chaque routeur infecté maintient une table de routage d'autres appareils infectés. Les commandes se propagent dans le réseau de manière distribuée, sautant de nœud en nœud en utilisant l'algorithme de routage efficace du protocole Kademlia. Il n'y a pas de serveur central à saisir, pas d'adresse IP unique à bloquer, et pas de goulot d'étranglement évident où le réseau pourrait être perturbé.

Si certains nœuds sont nettoyés ou se déconnectent, les nœuds restants réorganisent automatiquement leurs tables de routage pour maintenir la connectivité du réseau. Le protocole Kademlia a été spécifiquement conçu pour être résilient au changement de nœuds — les appareils rejoignant et quittant le réseau — ce qui le rend naturellement résistant aux désactivations partielles. Le botnet peut perdre une fraction importante de ses nœuds et continuer à fonctionner avec une perturbation minimale.

Cette conception représente une évolution significative dans l'architecture des botnets. Bien que les botnets pair-à-pair existent depuis des années, l'implémentation de Kademlia de KadNap est remarquablement sophistiquée, utilisant la vérification cryptographique des entrées de table de routage pour empêcher les chercheurs en sécurité d'injecter de faux nœuds dans le réseau comme tactique de perturbation.

La Connexion Asus

La forte concentration de routeurs Asus parmi les victimes de KadNap soulève des questions sur la posture de sécurité de ces appareils largement utilisés par les consommateurs. Les routeurs de consommation Asus ont été le sujet de plusieurs avis de sécurité ces dernières années, avec des vulnérabilités allant des contournements d'authentification aux défauts d'exécution de code à distance. Bien qu'Asus lance régulièrement des mises à jour de micrologiciel pour résoudre ces problèmes, la grande majorité des propriétaires de routeurs de consommation ne mettent jamais à jour leur micrologiciel.

Contrairement aux smartphones et ordinateurs, qui se mettent généralement à jour automatiquement, la plupart des routeurs de consommation nécessitent des mises à jour manuelles de micrologiciel qui impliquent de télécharger des fichiers du site web du fabricant et de les télécharger via l'interface d'administration du routeur. Beaucoup d'utilisateurs ne savent pas que leur routeur a même un micrologiciel, et encore moins qu'il faut le mettre à jour. Cela crée une population permanente d'appareils vulnérables que les opérateurs de botnet peuvent exploiter à volonté.

Se Défendre Contre KadNap

Pour les propriétaires de routeurs individuels, la défense la plus efficace est directe : mettez à jour le micrologiciel de votre routeur. Asus fournit des mises à jour de micrologiciel via son site web d'assistance et a introduit une fonction de mise à jour automatique dans les modèles plus récents. Changer les mots de passe administrateur par défaut et désactiver l'accès à la gestion à distance d'Internet sont également des étapes essentielles qui ferment les vecteurs d'attaque les plus couramment exploités.

Pour la communauté de sécurité plus large, KadNap souligne la nécessité de nouvelles approches pour démanteler les botnets. Les méthodes traditionnelles qui s'appuient sur la saisie d'infrastructure de commande et contrôle sont inefficaces contre les conceptions pair-à-pair. Les stratégies alternatives pourraient inclure la divulgation coordonnée des vulnérabilités et le correctif forcé par la coopération des FAI, la détection automatisée des modèles de trafic botnet au niveau du réseau, ou les cadres juridiques qui tiennent les fabricants d'appareils responsables de l'expédition de produits présentant des lacunes de sécurité connues.

À mesure que les appareils Internet des Objets de consommation se multiplient — routeurs, caméras, haut-parleurs intelligents et appareils électroménagers — le pool d'appareils connectés à Internet mal entretenus disponibles pour le recrutement de botnets continue de croître. KadNap est un avertissement de ce qui se passe lorsque ce pool rencontre l'ingénierie de malware sophistiquée.

Cet article est basé sur des reportages d'Ars Technica. Lire l'article original.