Cyberkriminelle haben weltweit still und leise über 14.000 Geräte kompromittiert und daraus eine neue Art von Cyberwaffe gebaut, gegen die sich nur äußerst schwer verteidigen lässt. Die Operation, die in einem aktuellen Bericht der Sicherheitsfirma Lumen detailliert beschrieben wird, basiert auf einem dezentralen Netzwerk infizierter Router – hauptsächlich Asus-Modelle –, um bösartigen Datenverkehr weiterzuleiten und einer Erkennung zu entgehen.
Wie das Botnetz funktioniert
Die Malware mit dem Namen „KadNap“ operiert über ein Peer-to-Peer-System. Dies bedeutet, dass kein zentraler Server heruntergefahren werden muss, was das Botnetz äußerst widerstandsfähig macht. Die Angreifer kapern mit dem Internet verbundene Geräte (Router, Smart Devices usw.) und verbinden sie miteinander, um DDoS-Angriffe (Distributed Denial of Service) zu starten. Diese Angriffe überfordern Websites und Online-Dienste mit Datenverkehr und führen dazu, dass sie offline gehen.
Der Hauptvorteil von KadNap ist seine Fähigkeit, sich einzumischen. Durch die Weiterleitung des Datenverkehrs über gewöhnliche Haushaltsrouter umgehen die Angreifer herkömmliche Sicherheitsfilter. Für den durchschnittlichen Benutzer könnte das einzige Anzeichen einer Infektion eine etwas langsamere Internetgeschwindigkeit sein.
Globale Reichweite und Wirkung
Die meisten infizierten Geräte befinden sich in den Vereinigten Staaten, aber KadNap hat sich auch in Großbritannien, Australien, Brasilien, Russland und ganz Europa verbreitet. Der Bericht verdeutlicht einen wachsenden Trend: Je mehr Geräte sich mit dem Internet der Dinge (IoT) verbinden, desto größer werden die Möglichkeiten zur Ausnutzung.
Bedrohungsakteure bauen jetzt groß angelegte Botnetze auf, um diese anfälligen Geräte zu kapern. Der Bericht von Lumen unterstreicht diese Gefahr: „Da die moderne Gesellschaft zunehmend auf internetfähige IoT-Geräte (Internet of Things) angewiesen ist, gibt es für böswillige Akteure weiterhin zahlreiche Möglichkeiten, Schwachstellen auszunutzen.“
Die Doppelgänger-Verbindung
KadNap-Bots werden über einen Dienst namens Doppelganger verkauft, der es Benutzern ermöglicht, gekaperte Geräte für verschiedene böswillige Aktivitäten auszunutzen. Dazu gehören Brute-Force-Angriffe und gezielte Ausnutzungskampagnen. Jede mit diesem Botnetz verbundene IP-Adresse stellt ein erhebliches und anhaltendes Risiko für Organisationen und Einzelpersonen dar.
„Ihre Absicht ist klar: Sie wollen die Entdeckung verhindern und es den Verteidigern erschweren, sich davor zu schützen“, schließt Lumen.
Diese Art von Cyberkriminalität zeigt einen Wandel hin zu ausgefeilteren, nicht nachvollziehbaren Methoden. Herkömmliche Sicherheitsmaßnahmen sind gegen dezentrale Botnetze, die alltägliche Geräte ausnutzen, zunehmend wirkungslos. Der Aufstieg von KadNap unterstreicht die dringende Notwendigkeit stärkerer Cybersicherheitspraktiken und einer proaktiven Bedrohungserkennung.
