🦔 I ricercatori dei Black Lotus Labs di Lumen hanno trovato un botnet di circa 14.000 router, per lo più Asus, che sono stati infettati da un malware chiamato KadNap. I dispositivi infetti vengono utilizzati come rete proxy per tunnelare il traffico in modo anonimo per un servizio a pagamento chiamato Doppelganger. La maggior parte dei router compromessi si trova negli Stati Uniti. Il malware sfrutta vulnerabilità non corrette e utilizza un design peer-to-peer basato su Kademlia, la stessa struttura che alimenta BitTorrent, il che lo rende altamente resistente ai tradizionali interventi di rimozione. Il mio parere Il design tecnico qui è degno di essere compreso. La maggior parte dei botnet ha server di comando centralizzati che i ricercatori possono identificare e chiudere. KadNap utilizza invece tabelle hash distribuite, quindi non c'è un singolo punto da colpire. Ogni router infetto memorizza pezzi della mappa di rete e può trovare altri nodi senza mai connettersi a un server centrale. L'unico modo per eliminarlo completamente è disconnettere ogni dispositivo connesso contemporaneamente, il che non è realistico quando si parla di 14.000 router nelle case delle persone. L'infezione persiste attraverso i riavvii perché il malware memorizza uno script shell che viene eseguito all'avvio. Un semplice riavvio non risolverà il problema. Devi ripristinare il router alle impostazioni di fabbrica, aggiornare il firmware, cambiare la password di amministrazione e disabilitare l'accesso remoto. La maggior parte delle persone non farà nulla di tutto ciò perché la maggior parte delle persone non sa che il proprio router è compromesso. Black Lotus afferma che il numero di dispositivi infetti è aumentato da 10.000 a 14.000 da agosto, quindi qualunque cosa stia accadendo, non sta rallentando. Hedgie🤗