🦔 Onderzoekers van Lumen's Black Lotus Labs hebben een botnet ontdekt van ongeveer 14.000 routers, voornamelijk van Asus, die zijn geïnfecteerd met malware genaamd KadNap. De geïnfecteerde apparaten worden gebruikt als een proxy-netwerk om anoniem verkeer te tunnelen voor een betaalde dienst genaamd Doppelganger. De meeste gecompromitteerde routers bevinden zich in de VS. De malware maakt gebruik van niet-gepatchte kwetsbaarheden en gebruikt een peer-to-peer ontwerp gebaseerd op Kademlia, dezelfde structuur die BitTorrent aandrijft, wat het zeer resistent maakt tegen traditionele uitschakelingen. Mijn mening Het technische ontwerp hier is het waard om te begrijpen. De meeste botnets hebben gecentraliseerde commandoservers die onderzoekers kunnen identificeren en uitschakelen. KadNap gebruikt in plaats daarvan gedistribueerde hashtabellen, dus er is geen enkel punt om op te richten. Elke geïnfecteerde router slaat stukjes van de netwerkkaart op en kan andere knooppunten vinden zonder ooit verbinding te maken met een centrale server. De enige manier om het volledig te doden is om elk verbonden apparaat tegelijk te ontkoppelen, wat niet realistisch is als je het hebt over 14.000 routers in mensenhuizen. De infectie blijft bestaan door herstarts omdat de malware een shell-script opslaat dat bij het opstarten wordt uitgevoerd. Een eenvoudige herstart lost het niet op. Je moet de router naar de fabrieksinstellingen terugzetten, de firmware bijwerken, het admin-wachtwoord wijzigen en externe toegang uitschakelen. De meeste mensen zullen dat niet doen omdat de meeste mensen niet weten dat hun router gecompromitteerd is. Black Lotus zegt dat het aantal geïnfecteerde apparaten is gegroeid van 10.000 naar 14.000 sinds augustus, dus wat er ook gebeurt, het vertraagt niet. Hedgie🤗