14.000 συσκευές κατασχέθηκαν για να δημιουργηθεί μια άνευ προηγουμένου κυβερνοεπίθεση

Υπάρχει ένας νέος τύπος κακόβουλου λογισμικού που κυκλοφορεί και μέχρι στιγμής έχει μολύνει περισσότερες από 14.000 συσκευές, σύμφωνα με ειδησεογραφία από την ομάδα Black Lotus Labs στο Lumen. Το κακόβουλο λογισμικό, το οποίο ονομάζεται KadNap, φαίνεται να στοχεύει κυρίως δρομολογητές με την επωνυμία Asus, αν και έχουν επηρεαστεί και άλλες συσκευές edge. Και μέχρι στιγμής, η ομάδα εκτιμά ότι τουλάχιστον το 60% των θυμάτων των επιθέσεων που προκάλεσε το KadNap έχουν εντοπιστεί εντός των Ηνωμένων Πολιτειών — με μικρότερο ποσοστό να έχει εντοπιστεί στη Ρωσία, το Ηνωμένο Βασίλειο, τη Βραζιλία, τη Γαλλία και μερικές άλλες χώρες σε όλο τον κόσμο.

Αυτό που είναι ιδιαίτερα ανησυχητικό για το KadNap είναι το γεγονός ότι από τη στιγμή που μια συσκευή μολυνθεί, ουσιαστικά επιτρέπει στους παράγοντες της απειλής να εμπορεύονται τις συσκευές ως μέρος μιας υπηρεσίας μεσολάβησης που ονομάζεται Doppelgänger. Μόλις γίνει μέρος της υπηρεσίας, μπορεί στη συνέχεια να χρησιμοποιηθεί σε εντελώς ανώνυμες επιθέσεις DDoS, οι οποίες επιτρέπουν σε κακούς ηθοποιούς να κρύβονται πίσω από χιλιάδες συσκευές που δεν τους ανήκουν. Η απόκρυψη κακόβουλου λογισμικού σε καθημερινές εφαρμογές έχει γίνει ένας πολύ γνωστός τρόπος διανομής μολυσμένων αρχείων.

Οι ερευνητές ασφαλείας που ανακάλυψαν το κακόβουλο λογισμικό λένε ότι αυτή η υπηρεσία είναι ουσιαστικά μια αλλαγή επωνυμίας μιας προηγούμενης υπηρεσίας μεσολάβησης που ονομάζεται Faceless, η οποία στο παρελθόν είχε συσχετιστεί με έναν άλλο τύπο κακόβουλου λογισμικού γνωστό ως TheMoon, το οποίο κυκλοφορεί από το 2014. Με βάση πληροφορίες που αντλήθηκαν από τον ιστότοπο για την υπηρεσία, οι ερευνητές σημειώνουν ότι το Doppelgänger έχει κυκλοφορήσει το Malware από τον Ιούνιο ή το F20. προειδοποίησε τους Αμερικανούς να αντικαταστήσουν ορισμένους δρομολογητές.

Καθώς ο κόσμος μας συνεχίζει να κινείται προς την αποδοχή περισσότερων συνδεδεμένων συσκευών, η απειλή κακόβουλου λογισμικού όπως το KadNap αυξάνεται. Αυτό συμβαίνει επειδή, καθώς βασιζόμαστε περισσότερο στο Διαδίκτυο των Πραγμάτων (IoT), οι φορείς απειλών βρίσκουν νέους τρόπους για να εκμεταλλευτούν αυτές τις συσκευές. Επιπλέον, η Lumen λέει ότι οι ακραίες συσκευές, όπως οι δρομολογητές που στοχεύουν το KadNap, είναι επίσης ευαίσθητες σε άλλα κακόβουλα προγράμματα, γεγονός που καθιστά δύσκολο να ξεχωρίσουμε ακριβώς ποιο κακόβουλο λογισμικό οδηγεί το αυτοκίνητο, ας πούμε έτσι. Και, καθώς οι δημιουργοί κακόβουλου λογισμικού γίνονται πιο έξυπνοι και πιο προηγμένοι, βρίσκουν τρόπους να κρύβουν ακόμη και την κυκλοφορία του δικτύου τους μέσα στη νόμιμη κίνηση peer-to-peer.

Ο μόνος λόγος που η Black Lotus Labs μπόρεσε να ανακαλύψει το κακόβουλο λογισμικό KadNap είναι ότι εντόπισε περισσότερες από 10.000 συσκευές Asus που αντιστοιχούσαν όλες σε ένα πολύ συγκεκριμένο σύνολο διακομιστών. Από εδώ, η έρευνά τους αποκάλυψε ότι ένα αρχείο είχε χρησιμοποιηθεί για τη λήψη ενός κακόβουλου σεναρίου φλοιού από αυτούς τους διακομιστές. Αυτό το αρχείο, σημειώνουν οι ερευνητές, είναι αυτό που “θέτει τη βάση” για το KadNap να ενσωματώσει το θύμα στο δίκτυο P2P.” Επιπλέον, επειδή χρησιμοποιεί έναν διακομιστή μεσολάβησης με τον τρόπο που το κάνει, οι ερευνητές πιστεύουν ότι η πρόθεση πίσω από την απειλή είναι πολύ σαφής. Θέλουν να αποφύγουν κάθε τύπο ανίχνευσης και να κάνουν όσο το δυνατόν πιο δύσκολο για τους ανθρώπους να αμυνθούν από την απειλή.

Ευτυχώς, από τη δημοσίευση της έκθεσής της, η Lumen σημειώνει ότι έχει αρχίσει προληπτικά να μπλοκάρει την κυκλοφορία δικτύου από το Doppelgänger, με σχέδια να μοιράζονται τους συμβιβασμούς δείκτες σε δημόσιες ροές, έτσι ώστε άλλοι να μπορούν να βοηθήσουν στην παρεμπόδιση της απειλής που θέτει το KadNap. Η Google άρχισε πρόσφατα να καταρρίπτει ένα άλλο τεράστιο σύστημα μεσολάβησης όπως αυτό, οπότε υπόσχεται να δούμε ένα άλλο να δέχεται πυρά, επίσης.