Cyberprzestępcy po cichu włamali się do ponad 14 000 urządzeń na całym świecie, wykorzystując je do stworzenia nowego rodzaju cyberbroni, przed którą niezwykle trudno się obronić. Operacja opisana w niedawnym raporcie Lumen opiera się na zdecentralizowanej sieci zainfekowanych routerów – głównie modeli Asusa – w celu kierowania szkodliwego ruchu i unikania wykrycia.
Jak działa Bonet
Szkodnik nazwany „KadNap” działa poprzez system peer-to-peer. Oznacza to, że nie ma centralnego serwera, który można by wyłączyć, co sprawia, że botnet jest wyjątkowo odporny. Osoby atakujące porywają urządzenia podłączone do Internetu (routery, urządzenia inteligentne itp.) i łączą je ze sobą, aby przeprowadzić ataki rozproszonej odmowy usługi (DDoS). Ataki te przeciążają witryny i usługi online ruchem, skutecznie je blokując.
Kluczową zaletą KadNapa jest jego zdolność kamuflażu. Kierując ruch przez zwykłe routery domowe, napastnicy omijają konwencjonalne filtry bezpieczeństwa. Dla przeciętnego użytkownika jedyną oznaką infekcji może być lekkie spowolnienie szybkości Internetu.
Globalny zasięg i wpływ
Większość zainfekowanych urządzeń znajduje się w Stanach Zjednoczonych, ale KadNap rozprzestrzenił się także w Wielkiej Brytanii, Australii, Brazylii, Rosji i całej Europie. W raporcie podkreślono rosnącą tendencję: w miarę jak coraz więcej urządzeń jest podłączonych do Internetu rzeczy (IoT), zwiększają się możliwości ich wykorzystania.
Atakujący tworzą obecnie botnety na dużą skalę specjalnie w celu przejęcia tych wrażliwych urządzeń. Raport Lumen podkreśla to niebezpieczeństwo: „W miarę jak współczesne społeczeństwo staje się coraz bardziej zależne od urządzeń Internetu rzeczy (IoT) podłączonych do Internetu, możliwości atakujących w zakresie wykorzystania luk w zabezpieczeniach stale rosną”.
Połącz się z sobowtórem
Boty KadNap są sprzedawane za pośrednictwem usługi o nazwie Doppelganger, która umożliwia użytkownikom wykorzystywanie przechwyconych urządzeń do różnych szkodliwych działań. Należą do nich ataki brute-force i wysoce ukierunkowane kampanie wykorzystujące. Każdy adres IP powiązany z tym botnetem stwarza znaczące i ciągłe ryzyko dla organizacji i osób prywatnych.
„Ich intencje są jasne: uniknąć wykrycia i utrudnić obronę” – podsumowuje Lumen.
Ten rodzaj cyberprzestępczości odzwierciedla przejście na bardziej wyrafinowane i subtelne metody. Tradycyjne środki bezpieczeństwa stają się coraz mniej skuteczne w walce ze zdecentralizowanymi botnetami korzystającymi z urządzeń codziennego użytku. Rozwój KadNapa uwydatnia pilną potrzebę wprowadzenia silniejszych środków cyberbezpieczeństwa i proaktywnego wykrywania zagrożeń.
