Güvenlik araştırmacıları, çoğunlukla Asus marka olan 14.000'den fazla router ve diğer ağ cihazını ele geçiren, sökülmesi zor bir botnet ağı ortaya çıkardıklarını duyurdu. Bu cihazlar, siber suç faaliyetlerinde kullanılan trafiği anonim olarak yönlendiren bir proxy ağına dönüştürülmüş durumda.
KadNap adı verilen zararlı yazılım, kullanıcılar tarafından güncellenmeyen güvenlik açıklarından faydalanarak cihazlara bulaşıyor. Asus router'larının bu botnette yoğunlukta olmasının, zararlı yazılım operatörlerinin bu modellere ait güvenlik açıklarına karşı güvenilir bir istismar yöntemi bulmuş olmasından kaynaklandığı düşünülüyor. Saldırganların sıfır gün (zero-day) açıkları kullanmadığı belirtiliyor.
Diğer Botnetlerden Farklı Bir Yapı
Günlük ortalama 14.000 router'ın etkilendiği bu botnet, geçen Ağustos ayında keşfedildiğinde bu sayı 10.000 civarındaydı. Enfekte olan cihazlar büyük çoğunlukla ABD'de bulunurken, Tayvan, Hong Kong ve Rusya'da da daha küçük gruplar mevcut. KadNap'ın en dikkat çekici özelliklerinden biri, komuta ve kontrol sunucularının IP adreslerini gizlemek için dağıtılmış hash tablolarını kullanan sofistike bir eşler arası (peer-to-peer) tasarıma sahip olması. Bu yapı, botnet'in geleneksel yöntemlerle tespit edilmesini ve etkisiz hale getirilmesini zorlaştırıyor.
Araştırmacılar, KadNap botnet'inin anonim proxy desteği sunan diğer botnet'lerden, dağıtılmış kontrol için eşler arası bir ağ kullanmasıyla ayrıldığını belirtiyor. Amaçlarının açıkça tespit edilmekten kaçınmak ve savunucuların korunmasını zorlaştırmak olduğu vurgulanıyor.
Dağıtılmış hash tabloları, BitTorrent ve Inter-Planetary File System gibi güvenli eşler arası ağlar oluşturmak için uzun süredir kullanılıyor. DHT'ler, merkezi sunucular yerine, herhangi bir cihazın aradığı cihazı veya sunucuyu diğer cihazlara sorarak bulmasını sağlıyor. Bu dağıtılmış yapı ve IP adreslerinin hash'lerle değiştirilmesi, ağa sökülme veya hizmet reddi saldırılarına karşı dayanıklılık kazandırıyor.
DHT konseptini anlamak biraz karmaşık olabilir. Basitçe anlatmak gerekirse, bu veri yapıları birden fazla ağ eşinde depolanır ve ağın ölçeklenebilir olmasını sağlar. Ağdaki düğüm sayısı arttıkça, öğelerin dağılımı daha iyi hale gelir. DHT'ler ayrıca ağları hataya dayanıklı hale getirir. Bir düğüm ağdan ayrıldığında, konum aramaları için başka düğümlere başvurulur. Teorik olarak, ağı çökertmenin tek yolu tüm bağlı düğümleri kesmektir.
Kademlia, her bir düğüme atanan anahtarları (verinin karma ile oluşturulan benzersiz bit dizileri) ve düğüm kimliklerini belirtmek için 160 bitlik bir alan kullanır. Düğümler daha sonra diğer düğümlerin anahtarlarını depolar. Depolanan anahtarlar, saklayan düğümün kimliğine olan benzerliklerine göre düzenlenir. Yakınlık, bir ağı haritalamak için matematiksel bir araç olan XOR mesafesi ile ölçülür. Bir düğüm başka bir düğümü sorguladığında, aradığı anahtara en yakın mesafedeki diğer düğümleri bulmak için bu metriği kullanır. Kademlia'nın bir varyantı olan KadNap, aranacak anahtarı bir BitTorrent düğümünden elde eder.
Araştırmacılar, normal sökme yöntemlerine karşı dirence rağmen, kontrol altyapısına giden veya gelen tüm ağ trafiğini engellemenin bir yolunu geliştirdiklerini belirtiyor. Ayrıca, diğer tarafların erişimi engellemesine yardımcı olmak için saldırı göstergelerini (IOC'ler) halka açık akışlara dağıtıyorlar.
Etkilenen cihazlar, müşterilerin internet trafiğini şüpheli kişilerin ev internet bağlantıları üzerinden tünelleyen ücretli bir proxy hizmeti olan Doppelganger için kullanılıyor. Yüksek bant genişliği ve temiz itibara sahip IP adresleri ile bu hizmet, müşterilere erişilemeyen siteleri anonim ve verimli bir şekilde ziyaret etmeleri için güvenilir bir yol sunuyor.
Cihazlarının etkilendiğinden endişe duyanlar, IP adresleri ve cihaz günlüklerinde bulunan bir dosya karması için belirtilen kaynakları kontrol edebilirler. Cihazları temizlemek için fabrika ayarlarına sıfırlanmaları gerekir. KadNap, enfekte bir router yeniden başlatıldığında çalışan bir kabuk betiği depoladığı için, cihazı yeniden başlatmak tekrar enfekte olmasına neden olacaktır. Cihaz sahipleri ayrıca mevcut tüm firmware güncellemelerinin yüklendiğinden, yönetici parolalarının güçlü olduğundan ve gerekmedikçe uzaktan erişimin devre dışı bırakıldığından emin olmalıdır.
