14.000 roteadores atingidos por botnet KadNap resistente a desativação

Um Botnet Que Se Recusa a Morrer

Pesquisadores de segurança do Black Lotus Labs da Lumen descobriram um botnet sofisticado que silenciosamente escravizou aproximadamente 14.000 roteadores e dispositivos de rede — predominantemente modelos de consumidor Asus — em uma rede proxy servindo operações de crimes cibernéticos. O malware, que os pesquisadores nomearam KadNap, se distingue da grande maioria dos botnets através de uma arquitetura peer-to-peer que o torna extraordinariamente difícil de desativar.

A contagem de infecções cresceu de aproximadamente 10.000 dispositivos quando Black Lotus primeiro descobriu o botnet em agosto passado para 14.000 no início de março. A grande maioria dos dispositivos comprometidos está localizada nos Estados Unidos, com aglomerados menores em Taiwan, Hong Kong e Rússia. A alta concentração de roteadores Asus entre as vítimas sugere que os operadores do botnet adquiriram um exploit confiável que apunta vulnerabilidades em versões específicas de firmware Asus.

Como KadNap se Propaga e Persiste

De acordo com o pesquisador de Black Lotus Chris Formosa, KadNap ganha seu primeiro acesso explorando vulnerabilidades conhecidas mas não corrigidas em roteadores de consumidor. Estes não são exploits de dia zero que requerem habilidades especializadas — eles são falhas de segurança publicamente documentadas para as quais os fabricantes emitiram patches, mas que os proprietários dos dispositivos nunca aplicaram. A lacuna entre a disponibilidade de patch e a instalação de patch permanece um dos problemas mais persistentes da segurança cibernética, e botnets como KadNap exploram-na impiedosamente.

Uma vez instalado em um roteador, KadNap transforma o dispositivo em um nó em uma rede proxy distribuída. O tráfego de operações de crimes cibernéticos — fraude, credential stuffing, web scraping e outras atividades maliciosas — é roteado através dos roteadores comprometidos, fazendo com que pareça originar-se de endereços IP residenciais legítimos. Este serviço de proxy residencial é então vendido a outros criminosos, fornecendo aos operadores do botnet um fluxo de receita constante.

O que torna KadNap particularmente perigoso é seu uso de um protocolo de comunicação peer-to-peer baseado em Kademlia, um algoritmo de tabela de hash distribuído bem conhecido originalmente desenvolvido para aplicações de compartilhamento de arquivos legítimas. Em um botnet tradicional, dispositivos comprometidos recebem instruções de um servidor de comando e controle central. A aplicação da lei e equipes de segurança podem desativar esses botnets identificando e apreendendo o servidor de comando, efetivamente cortando a cabeça da cobra.

A Vantagem do Kademlia

A arquitetura baseada em Kademlia do KadNap elimina este único ponto de falha. Em vez de conectar-se a um servidor central, cada roteador infectado mantém uma tabela de roteamento de outros dispositivos infectados. Os comandos se propagam através da rede de forma distribuída, pulando de nó para nó usando o algoritmo de roteamento eficiente do protocolo Kademlia. Não há servidor central para apreender, nenhum endereço IP único para bloquear, e nenhum ponto de estrangulamento óbvio onde a rede possa ser interrompida.

Se alguns nós forem limpos ou ficarem offline, os nós restantes reorganizam automaticamente suas tabelas de roteamento para manter a conectividade da rede. O protocolo Kademlia foi especificamente projetado para ser resiliente à mudança de nós — dispositivos entrando e saindo da rede — o que o torna naturalmente resistente a desativações parciais. O botnet pode perder uma fração significativa de seus nós e continuar operando com disrupção mínima.

Este design representa uma evolução significativa na arquitetura de botnet. Enquanto botnets peer-to-peer existem há anos, a implementação de Kademlia do KadNap é notavelmente sofisticada, usando verificação criptográfica de entradas de tabela de roteamento para impedir que pesquisadores de segurança injetem nós falsos na rede como uma tática de disrupção.

A Conexão Asus

A alta concentração de roteadores Asus entre as vítimas do KadNap levanta questões sobre a postura de segurança destes dispositivos amplamente utilizados pelos consumidores. Os roteadores de consumidor Asus têm sido objeto de múltiplos avisos de segurança nos últimos anos, com vulnerabilidades variando de bypasses de autenticação a falhas de execução remota de código. Embora Asus regularmente lance atualizações de firmware para abordar estes problemas, a grande maioria dos proprietários de roteadores de consumidor nunca atualiza seu firmware.

Diferentemente de smartphones e computadores, que típicamente atualizam automaticamente, a maioria dos roteadores de consumidor requer atualizações de firmware manual que envolvem baixar arquivos do site do fabricante e carregá-los através da interface de administração do roteador. Muitos usuários não estão cientes de que seu roteador sequer tem firmware, muito menos de que precisa ser atualizado. Isto cria uma população permanente de dispositivos vulneráveis que operadores de botnet podem colher à vontade.

Defendendo-se Contra KadNap

Para proprietários de roteadores individuais, a defesa mais eficaz é direta: atualize o firmware de seu roteador. Asus fornece atualizações de firmware através de seu site de suporte e introduziu um recurso de atualização automática em modelos mais novos. Alterar senhas de administrador padrão e desabilitar acesso de administração remota da internet também são passos essenciais que fecham os vetores de ataque mais comumente explorados.

Para a comunidade de segurança mais ampla, KadNap destaca a necessidade de novas abordagens para desmantelar botnets. Métodos tradicionais que confiam em apreender infraestrutura de comando e controle são ineficazes contra designs peer-to-peer. Estratégias alternativas poderiam incluir divulgação coordenada de vulnerabilidades e patching forçado através de cooperação de ISP, detecção automatizada de padrões de tráfego de botnet em nível de rede, ou frameworks legais que responsabilizem fabricantes de dispositivos por enviar produtos com deficiências de segurança conhecidas.

Conforme dispositivos Internet das Coisas de consumidor proliferam — roteadores, câmeras, alto-falantes inteligentes e eletrodomésticos — o pool de dispositivos conectados à internet mal mantidos disponíveis para recrutamento de botnet continua a crescer. KadNap é um aviso do que acontece quando esse pool encontra engenharia de malware sofisticada.

Este artigo é baseado em reportagens do Ars Technica. Leia o artigo original.