Il botnet di migliaia di router infetti è difficile da rimuovere, ma esiste un metodo efficace per combatterlo.

È stato scoperto un nuovo botnet persistente – KadNap

*Gli studiosi di Black Lotus Labs (Lumen) hanno identificato una rete dannosa che continua a funzionare nonostante i tentativi di rimuoverla.*

Cosa è stato trovato
- Il botnet KadNap ha colpito circa 14.000 router e altri dispositivi di rete, nella maggior parte dei casi prodotti da Asus.

- Il virus si diffonde tramite vulnerabilità che non sono state chiuse dai proprietari dell’hardware.

La maggior parte degli apparecchi infetti appartiene al modello Asus perché gli aggressori hanno trovato un exploit affidabile proprio per questa linea.

Valutazione della minaccia
- Gli studiosi ritengono improbabile l’uso di zero‑day (vulnerabilità ancora sconosciute).

- A agosto dello scorso anno c’erano già 10.000 dispositivi infetti, la maggior parte negli Stati Uniti. In Taiwan, Hong Kong e Russia sono stati rilevati anche alcune centinaia di casi.

Tecnologia operativa
KadNap utilizza un’architettura peer‑to‑peer Kademlia – tabelle hash distribuite che nascondono gli indirizzi IP dei server di controllo. Ciò rende il botnet difficile da individuare e quasi invulnerabile ai metodi tradizionali di rimozione.

> “Il botnet si distingue per l’uso di una rete peer‑to‑peer decentralizzata invece di proxy anonimi”, affermano Chris Formos e Steve Radd di Black Lotus nel blog Lumen.

> “L’intento degli aggressori è evitare la rilevazione e complicare il lavoro dei professionisti della sicurezza informatica”.

Come reagiscono
- Nonostante la resistenza ai metodi di blocco convenzionali, Black Lotus ha sviluppato un modo per interrompere tutto il traffico di rete tra l’infrastruttura di controllo del botnet e gli altri nodi.

- Il team pubblica indicatori di compromissione in fonti aperte affinché altre organizzazioni possano bloccare rapidamente l’accesso a KadNap.

In questo modo, KadNap rappresenta un botnet complesso e decentralizzato che sfrutta le vulnerabilità Asus e una rete peer‑to‑peer per nascondere il suo controllo. Tuttavia, gli esperti di Lumen hanno già trovato un modo per fermarne la diffusione e forniscono strumenti per proteggere le reti dall’ulteriore infezione.