Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetemDomowe i firmowe routery od lat są ulubionymi celami cyberprzestępców, co pokazywały choćby opisywane przez nas kampanie hakerskie AyySSHush czy TheMoon. Nowe odkrycie badaczy z Black Lotus Labs to jednak zupełnie inny kaliber zagrożenia. Botnet KadNap, który od sierpnia 2025 roku rośnie w siłę, nie tylko zainfekował tysiące urządzeń sieciowych, ale zrobił to w sposób, który znacząco utrudnia jego likwidację.

Najnowszy botnet KadNap wykorzystuje zdecentralizowany protokół Kademlia DHT do ukrycia infrastruktury dowodzenia, przez co jest wyjątkowo odporny na tradycyjne metody neutralizacji i zmienia zainfekowane routery w anonimowe węzły sieci proxy.

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [1]

Hakerzy nie włamują się już do AI, oni go po prostu przekonują. Oto jak działa Sugar-Coated Poison

Specjaliści z Black Lotus Labs (Lumen Technologies) ujawnili szczegóły botnetu KadNap w marcu 2026 roku, choć pierwsze jego ślady wykryli już w sierpniu 2025. Wtedy ilość zainfekowanych urządzeń wynosiła około 10 000. Od tamtej pory wzrosła do 14 000. Atak uderza przede wszystkim w routery firmy ASUS, choć operatorzy botnetu używają tego samego złośliwego oprogramowania przeciwko różnym urządzeniom brzegowym. Niemal połowa infrastruktury dowodzenia (C2) jest dedykowana wyłącznie botom zbudowanym z urządzeń ASUS.

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [2]

Koniec z prowizorką. Rząd przyjął strategię, która ma zmienić polskie cyberbezpieczeństwo do 2029 roku

Geograficznie dominują Stany Zjednoczone z około 60 proc. ofiar. Mniejsza koncentracja jest na Tajwanie, w Hongkongu, Rosji, Wielkiej Brytanii, Australii, Brazylii, Francji, Włoszech i Hiszpanii. Infekcja przebiega bez użycia zero-day. Atakujący sięgają po znane, ale niezałatane luki. Na router trafia skrypt powłoki aic.sh, który zakłada zadanie cron uruchamiane co 55 minut. Pobiera ono plik wykonywalny ELF (ARM lub MIPS), przemianowuje go na "kad" i uruchamia. Malware blokuje przy tym port 22 (SSH), aby utrudnić zdalne interwencje.

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [3]

Luka w Gemini Live pozwalała rozszerzeniom Chrome na eskalację uprawnień i dostęp do kamery, mikrofonu i lokalnych plików

To, co odróżnia KadNap od setek poprzednich botnetów, to architektura C2 korzystająca ze zmodyfikowanej implementacji protokołu Kademlia DHT, czyli tej samej technologii, która stoi za sieciami BitTorrent czy IPFS. Zamiast centralizować zarządzanie na jednym lub kilku serwerach, które można łatwo zablokować, każdy zainfekowany węzeł przechowuje fragment informacji o lokalizacji C2. Adres serwera dowodzenia nie jest nigdzie jawnie zapisany. Bot wyznacza go dynamicznie, odpytując inne węzły. Efekt jest taki, że tradycyjne blokowanie adresów IP mija się z celem, gdyż sieć regeneruje się samoczynnie. Na tym jednak nie koniec. Zainfekowane routery trafiają do oferty serwisu proxy Doppelganger (uznawany za rebrand usługi Faceless, wcześniej powiązanej z botnetem TheMoon), który sprzedaje dostęp do przejętych urządzeń jako rezydencyjne proxy do ataków brute-force, credential stuffing czy kampanii DDoS.

Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [4]

Twoja sieć dla gości nie chroni cię tak, jak myślisz. AirSnitch omija szyfrowanie Wi-Fi w urządzeniach Netgear, Cisco i ASUS

Dla właściciela routera ASUS sprawa jest prosta i nieprzyjemna. Jego sprzęt może od miesięcy pracować na rzecz cyberprzestępców, bez żadnego widocznego objawu. Lumen zablokował ruch do infrastruktury C2 w obrębie własnej sieci, ale to tylko częściowa odpowiedź. W porównaniu z poprzednimi botnetami celującymi w ASUSa, jak choćby opisywana przez nas kampania AyySSHush czy TheMoon, KadNap jest trudniejszy do trwałego rozbicia właśnie z powodu zdecentralizowanej architektury. Luka, którą wypełnia ta operacja, pozostaje stara jak sam rynek routerów. Właściciele nie aktualizują firmware'u. Jeśli ta tendencja się nie zmieni, kolejne botnety będą tylko bardziej wyrafinowane.

Źródło: Lumen Black Lotus Labs
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Liczba komentarzy: 44

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.