Wprowadzenie do problemu / definicja
KadNap to złośliwe oprogramowanie wymierzone przede wszystkim w routery oraz inne urządzenia brzegowe obsługujące ruch sieciowy na styku z internetem. W odróżnieniu od kampanii nastawionych na szyfrowanie danych lub bezpośrednią kradzież plików, celem tej operacji jest przejęcie infrastruktury sieciowej i wykorzystanie jej jako rozproszonej warstwy proxy.
Taki model działania pozwala operatorom malware ukrywać rzeczywiste źródło ruchu, utrudniać analizę incydentów oraz budować odporną na zakłócenia infrastrukturę pośredniczącą. To szczególnie niebezpieczne, ponieważ ofiara może przez długi czas nie zauważyć, iż jej urządzenie stało się elementem zaplecza wykorzystywanego do dalszych działań przestępczych.
W skrócie
- KadNap działa w środowisku produkcyjnym co najmniej od sierpnia 2025 roku.
- Botnet objął już ponad 14 tysięcy urządzeń brzegowych.
- Głównym celem są routery Asus, ale infekowane są także inne urządzenia klasy edge.
- Malware korzysta ze zmodyfikowanego protokołu Kademlia DHT do komunikacji peer-to-peer.
- Przejęte hosty są wykorzystywane jako anonimowe proxy oferowane komercyjnie.
- Najwięcej ofiar odnotowano w Stanach Zjednoczonych.
Kontekst / historia
Urządzenia SOHO oraz małe routery biurowe od lat pozostają atrakcyjnym celem dla operatorów botnetów. Są stale podłączone do internetu, często rzadko aktualizowane, nierzadko działają z domyślną konfiguracją i bywają używane długo po zakończeniu wsparcia producenta. W praktyce tworzy to idealne środowisko do budowy dużej, taniej i trudnej do wykrycia infrastruktury pośredniczącej.
W przypadku KadNap badacze wskazują, iż zainfekowane urządzenia są włączane do usługi proxy działającej pod marką Doppelgänger. Tego typu usługi oferują tak zwane residential proxies, czyli ruch wyglądający jak legalna aktywność zwykłych użytkowników internetu. To wpisuje się w rosnący trend monetyzacji botnetów nie tylko poprzez ataki DDoS, ale także przez sprzedaż dostępu do anonimowej warstwy sieciowej.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od pobrania skryptu powłoki o nazwie aic.sh z serwera dowodzenia i kontroli. Skrypt odpowiada za inicjację procesu dołączenia zainfekowanego urządzenia do sieci P2P oraz przygotowanie mechanizmu dalszego działania malware.
Następnie tworzona jest persystencja w postaci zadania cron, które cyklicznie pobiera skrypt, zapisuje go pod nazwą .asusrouter i uruchamia. Dzięki temu operatorzy utrzymują kontrolę nad urządzeniem choćby po restarcie lub czasowym zakłóceniu działania komponentów złośliwego oprogramowania.
Po utrwaleniu obecności KadNap pobiera plik ELF, zmienia jego nazwę na kad i uruchamia go lokalnie. Analiza wskazuje, iż próbki przygotowano dla architektur ARM oraz MIPS, co odpowiada profilowi sprzętowemu wielu popularnych routerów konsumenckich i urządzeń sieciowych używanych w małych firmach.
Najbardziej charakterystycznym elementem kampanii jest wykorzystanie niestandardowej implementacji Kademlia Distributed Hash Table. Zamiast polegać wyłącznie na scentralizowanych serwerach C2, malware korzysta ze zdecentralizowanej komunikacji peer-to-peer do odnajdywania węzłów, odbierania poleceń i pozyskiwania kolejnych komponentów. Taki model znacząco utrudnia blokowanie i przejmowanie infrastruktury sterującej.
Malware komunikuje się również z serwerem czasu NTP, aby pobrać aktualny czas i porównać go z uptime hosta. Na tej podstawie tworzony jest hash wykorzystywany do wyszukiwania innych peerów w sieci zdecentralizowanej. To pokazuje, iż operatorzy botnetu starają się ograniczać stałe wskaźniki kompromitacji i zwiększać elastyczność koordynacji całej kampanii.
Dodatkowe pliki oznaczone jako fwr.sh oraz /tmp/.sose zawierają funkcje służące między innymi do zamykania portu 22/TCP, czyli standardowego portu SSH, a także do pobierania list adresów IP i portów serwerów C2. Zamknięcie SSH może utrudniać administratorom zdalny dostęp, ograniczać przejęcie urządzenia przez konkurencyjne botnety i stabilizować kontrolę nad zainfekowanym hostem.
Badacze zauważyli też, iż nie wszystkie urządzenia komunikują się z identycznym zestawem serwerów C2. Może to wskazywać na segmentację infrastruktury według modelu urządzenia, architektury lub roli operacyjnej. Dla obrońców oznacza to większą trudność w zbudowaniu pełnego obrazu kampanii i przygotowaniu jednolitych reguł blokowania.
Konsekwencje / ryzyko
Najpoważniejsze zagrożenie związane z KadNap polega na cichym przejęciu kontroli nad urządzeniem sieciowym i wykorzystaniu go jako elementu infrastruktury przestępczej. Router może wówczas pośredniczyć w ruchu używanym do phishingu, oszustw, skanowania sieci, obchodzenia mechanizmów reputacyjnych lub innych działań o charakterze nielegalnym.
Dla firm ryzyko jest szczególnie wysokie w środowiskach rozproszonych, oddziałowych i wszędzie tam, gdzie małe urządzenia brzegowe pozostają poza centralnym nadzorem bezpieczeństwa. Kompromitacja routera może prowadzić do utraty integralności ruchu, problemów z dostępnością zdalnego zarządzania, wzrostu ryzyka podsłuchu oraz powiązania organizacyjnego adresu IP z aktywnością przestępczą.
Istnieje również ryzyko współinfekcji przez kilka rodzin malware jednocześnie. W takiej sytuacji analiza incydentu staje się bardziej złożona, a atrybucja poszczególnych działań i artefaktów technicznych wymaga większego nakładu pracy ze strony zespołów SOC oraz administratorów.
Rekomendacje
Podstawą obrony pozostaje ścisłe zarządzanie aktualizacjami firmware’u wszystkich routerów i urządzeń brzegowych, szczególnie w segmencie SOHO i SMB. Modele po zakończeniu wsparcia producenta powinny być wycofywane z eksploatacji, ponieważ bardzo często stają się trwałym elementem botnetów.
- zmienić domyślne hasła administracyjne i stosować silne poświadczenia,
- wyłączyć ekspozycję paneli administracyjnych do internetu,
- ograniczyć zarządzanie do zaufanych adresów lub wydzielonych sieci administracyjnych,
- wyłączyć nieużywane usługi zdalne,
- monitorować zmiany konfiguracji urządzeń,
- centralnie gromadzić logi z routerów i urządzeń brzegowych,
- segmentować infrastrukturę edge od pozostałych zasobów organizacji.
Po stronie detekcji warto zwracać uwagę na nietypowe zadania cron, pojawianie się nieautoryzowanych plików ELF, anomalie w ruchu NTP oraz podejrzaną komunikację P2P wychodzącą z urządzeń, które normalnie nie powinny prowadzić takiej aktywności. Sygnałem ostrzegawczym mogą być również samoistne zmiany dostępności portu 22/TCP, ukryte pliki w katalogach tymczasowych oraz niespodziewane restarty usług.
W przypadku podejrzenia kompromitacji zalecane jest odłączenie urządzenia od sieci, zabezpieczenie konfiguracji i logów do analizy, pełna reinstalacja firmware’u z zaufanego źródła oraz rotacja wszystkich poświadczeń administracyjnych powiązanych z urządzeniem.
Podsumowanie
KadNap pokazuje, iż nowoczesne botnety coraz częściej odchodzą od prostych, scentralizowanych modeli sterowania na rzecz architektur zdecentralizowanych, trudniejszych do wykrycia i bardziej odpornych na zakłócenia. Połączenie infekcji routerów, mechanizmów persystencji opartych na skryptach, obsługi wielu architektur sprzętowych i komunikacji przez zmodyfikowany DHT tworzy zagrożenie istotne zarówno dla użytkowników indywidualnych, jak i dla organizacji.
Najważniejszy wniosek jest praktyczny: urządzenia brzegowe nie mogą być traktowane jako pasywna infrastruktura pomocnicza. To pełnoprawny element powierzchni ataku, który wymaga aktualizacji, monitoringu, kontroli konfiguracji i planowej wymiany po zakończeniu wsparcia producenta.
