Киберпреступники постоянно ищут новые способы скрыть свою инфраструктуру и усложнить жизнь специалистам по информационной безопасности. Последним примером такой изощренности стал ботнет KadNap, обнаруженный экспертами Black Lotus Labs из компании Lumen. Эта вредоносная программа целенаправленно заражает маршрутизаторы ASUS, чтобы использовать их в качестве анонимных прокси для пересылки зловредного трафика. Уникальность угрозы заключается в применении модифицированного протокола Kademlia, который обычно используется в пиринговых (P2P) сетях, для сокрытия адресов серверов управления. С августа 2025 года исследователи наблюдали за ростом сети, которая к моменту публикации отчёта объединяла более 14 000 скомпрометированных устройств, более 60% из которых расположены в США.
Описание
Проблема безопасности интернета вещей (IoT) давно перестала быть теоретической. Устройства, такие как домашние маршрутизаторы, часто остаются без своевременных обновлений и имеют слабые стандартные пароли, что делает их лёгкой добычей для злоумышленников. Скомпрометированные устройства затем используются для создания прокси-сетей, через которые осуществляется широкий спектр атак - от перебора учётных данных до целевых кампаний. KadNap представляет собой эволюцию подобных угроз, делая ставку не на масштаб, а на скрытность. Исследователи из Lumen сообщили, что в начале августа 2025 года их алгоритмы обнаружили аномальную активность более 10 000 устройств ASUS, связывающихся с определённым набором серверов.
Вредоносная кампания начинается с эксплуатации уязвимости или слабых учётных данных на маршрутизаторе. После получения доступа злоумышленники загружают скрипт "aic.sh", который обеспечивает закрепление в системе. Скрипт настраивает задание в планировщике cron для ежечасной загрузки и выполнения вредоносного файла, маскирующегося под ".asusrouter". Затем загружается исполняемый файл (ELF) для архитектур ARM или MIPS, который получает название "kad". Это имя указывает на ключевую особенность malware - использование протокола Kademlia, представляющего собой реализацию распределённой хэш-таблицы (DHT, Distributed Hash Table). Данный протокол, лежащий в основе, например, BitTorrent, позволяет эффективно находить информацию в децентрализованной сети без центрального сервера.
Обычно Kademlia работает по принципу цепочки: узел, ищущий информацию, последовательно обращается к другим узлам, каждый из которых знает часть сети, пока цель не будет найдена. KadNap адаптирует эту модель для скрытия своих серверов командования и управления (C2, Command-and-Control). Вместо прямого подключения к известному C2 заражённое устройство входит в P2P-сеть и через серию «рукопожатий» с другими инфицированными узлами в итоге получает зашифрованный адрес настоящего управляющего сервера. Для стороннего наблюдателя этот трафик выглядит как легитимный обмен данными в пиринговой сети, что крайне затрудняет его обнаружение и блокировку традиционными средствами защиты, такими как системы обнаружения вторжений (IDS) или блэк-листы IP-адресов.
Однако в ходе анализа выяснилось, что реализация Kademlia в KadNap не является полностью децентрализованной. Несмотря на сложный механизм поиска, конечной точкой в цепочке на протяжении нескольких месяцев оставались два постоянных узла с адресами 45.135.180[.]38 и 45.135.180[.]177. Это свидетельствует о том, что злоумышленники сохраняют за собой контрольные точки для гарантированного управления ботнетом. После установления связи с C2 устройство загружает дополнительные скрипты, один из которых, "fwr.sh", изменяет правила межсетевого экрана, блокируя SSH-доступ (порт 22) на заражённом маршрутизаторе. Это действие не только усложняет восстановление контроля для владельца, но и предотвращает «перехват» устройства конкурирующими группировками.
Собранная бот-сеть предлагается в аренду через прокси-сервис под названием Doppelganger, который, по мнению исследователей, является ребра́ндингом более раннего сервиса Faceless. Этот сервис позиционируется как поставщик анонимных резидентских прокси и явно ориентирован на криминальную аудиторию. Таким образом, IP-адреса обычных пользователей, чьи маршрутизаторы были скомпрометированы, используются для проведения атак, что позволяет злоумышленникам обходить географические блокировки и фильтрацию по номерам автономных систем (ASN).
Для корпоративных защитников появление KadNap означает новые риски. Атаки, такие как перебор паролей или сканирование уязвимостей, теперь могут поступать с «доверенных» резидентских IP-адресов, а не только с дата-центров. Это требует корректировки стратегий защиты. Специалистам рекомендуется усилить мониторинг подозрительных попыток входа, даже с резидентских адресов, и внедрять многофакторную аутентификацию. На уровне сетевой безопасности полезно блокировать исходящие подключения к публичным BitTorrent-трекерам с корпоративных устройств, не предназначенных для таких задач, а также отслеживать соединения с известными узлами KadNap. Владельцам же домашних маршрутизаторов, особенно ASUS, критически важно сменить пароли по умолчанию на сложные, регулярно проверять и устанавливать обновления прошивки, а также отключать неиспользуемые сервисы, такие как удалённое администрирование. Компания Lumen уже внесла инфраструктуру ботнета в свои системы блокировки и опубликует индикаторы компрометации (IoC) в открытых источниках, чтобы помочь мировому сообществу в борьбе с этой скрытной угрозой.
Индикаторы компрометации
IPv4
- 154.7.253.12
- 212.104.141.88
- 23.227.203.221
- 45.135.180.177
- 45.135.180.38
- 79.141.161.152
- 79.141.163.155
- 85.158.111.100
- 89.46.38.74
- 91.193.19.226
- 91.193.19.51
SHA256
- 0b3dbb951de7a216dd5032d783ba7d0a5ecda2bf872643c3a4ddd1667fb38ffe
- ebf9de6b67e94b2bd2b0dcda1941e04fef1a1dad830404813e468ab8744b7ed8
