Cybercriminelen hebben wereldwijd stilletjes meer dan 14.000 apparaten gecompromitteerd en deze gebruikt om een nieuw type cyberwapen te bouwen dat uitzonderlijk moeilijk te verdedigen is. De operatie, beschreven in een recent rapport van beveiligingsbedrijf Lumen, is afhankelijk van een gedecentraliseerd netwerk van geïnfecteerde routers – voornamelijk Asus-modellen – om kwaadaardig verkeer te routeren en detectie te omzeilen.
Hoe het botnet werkt
De malware, genaamd “KadNap”, werkt via een peer-to-peer-systeem. Dit betekent dat er geen centrale server hoeft te worden afgesloten, waardoor het botnet zeer veerkrachtig is. De aanvallers kapen apparaten die met internet zijn verbonden (routers, slimme apparaten, enz.) en koppelen deze aan elkaar om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren. Deze aanvallen overspoelen websites en onlinediensten met verkeer, waardoor ze feitelijk offline worden gehaald.
Het belangrijkste voordeel van KadNap is de mogelijkheid om op te vallen. Door verkeer via gewone huishoudelijke routers te leiden, omzeilen de aanvallers conventionele beveiligingsfilters. Voor de gemiddelde gebruiker kan het enige teken van infectie een iets lagere internetsnelheid zijn.
Mondiaal bereik en impact
Het merendeel van de geïnfecteerde apparaten bevindt zich in de Verenigde Staten, maar KadNap heeft zich ook verspreid naar Groot-Brittannië, Australië, Brazilië, Rusland en heel Europa. Het rapport benadrukt een groeiende trend: naarmate meer apparaten verbinding maken met het Internet of Things (IoT), nemen de mogelijkheden voor exploitatie toe.
Bedreigingsactoren bouwen nu grootschalige botnets specifiek om deze kwetsbare apparaten te kapen. Het rapport van Lumen onderstreept dit gevaar: “Nu de moderne samenleving steeds meer afhankelijk is van aan het internet blootgestelde Internet of Things (IoT)-apparaten, blijven de mogelijkheden voor kwaadwillende actoren om kwetsbaarheden te misbruiken in overvloed aanwezig.”
De dubbelgangerverbinding
KadNap-bots worden verkocht via een dienst genaamd Doppelganger, waarmee gebruikers gekaapte apparaten kunnen gebruiken voor verschillende kwaadaardige activiteiten. Hiertoe behoren onder meer brute-force-aanvallen en zeer gerichte exploitatiecampagnes. Elk IP-adres dat aan dit botnet is gekoppeld, vormt een aanzienlijk en aanhoudend risico voor organisaties en individuen.
“Hun bedoeling is duidelijk: detectie vermijden en het voor verdedigers moeilijk maken om zich ertegen te beschermen”, besluit Lumen.
Dit type cybercriminaliteit laat een verschuiving zien naar meer geavanceerde, niet-traceerbare methoden. Traditionele beveiligingsmaatregelen zijn steeds ineffectiever tegen gedecentraliseerde botnets die alledaagse apparaten exploiteren. De opkomst van KadNap onderstreept de dringende behoefte aan sterkere cyberbeveiligingspraktijken en proactieve detectie van bedreigingen.
