🦔 Дослідники з Black Lotus Labs компанії Lumen виявили ботнет із близько 14 000 роутерів, переважно Asus, які були заражені шкідливим програмним забезпеченням під назвою KadNap. Заражені пристрої використовуються як проксі-мережа для анонімного тунелювання трафіку платного сервісу під назвою Doppelganger. Більшість скомпрометованих роутерів знаходяться у США. Шкідливе ПЗ експлуатує невиправлені вразливості та використовує peer-to-peer дизайн на основі Kademlia — тієї ж структури, що й BitTorrent, що робить його дуже стійким до традиційних видалень. Моя думка Технічний дизайн тут варто зрозуміти. Більшість ботнетів мають централізовані командні сервери, які дослідники можуть ідентифікувати та вимикати. KadNap використовує розподілені хеш-таблиці, тому немає єдиної точки для таргетингу. Кожен заражений маршрутизатор зберігає частини карти мережі і може знаходити інші вузли, не підключаючись до центрального сервера. Єдиний спосіб повністю його знищити — відключити всі підключені пристрої одразу, що нереалістично, коли йдеться про 14 000 роутерів у домівках людей. Зараження зберігається під час перезавантаження, оскільки шкідливе ПЗ зберігає shell-скрипт, який запускається при запуску. Простий перезапуск цього не вирішить. Потрібно зробити скидання роутера до заводських налаштувань, оновити прошивку, змінити пароль адміністратора та вимкнути віддалений доступ. Більшість людей цього не зроблять, бо не знають, що їхній роутер скомпрометований. Black Lotus повідомляє, що кількість заражених пристроїв зросла з 10 000 до 14 000 з серпня, тож що б не відбувалося, це не сповільнюється. Хеджі🤗