بوتنت من آلاف أجهزة التوجيه المصابة يصعب إزالتها - ومع ذلك هناك طريقة فعّالة للمعالجة.

تم اكتشاف بوتنت ثابت جديد – KadNap

*باحثون من Black Lotus Labs (Lumen) كشفوا عن شبكة خبيثة لا تزال تعمل على الرغم من محاولات حذفها.*

ما الذي وجدوه
- أثر بوتنت KadNap على نحو 14,000 جهاز توجيه وغيرها من الأجهزة الشبكية، معظمها من طراز Asus.

- ينتشر الفيروس عبر ثغرات لم تُغلَق بعد من قبل مالكي المعدات.
أغلب الأجهزة المصابة تنتمي إلى موديل Asus لأن المهاجمين وجدوا استغلالاً موثوقاً لهذا السلسلة بالذات.

تقييم الخطر
- يعتقد الباحثون أن استخدام الثغرات الصفرية (التي لم تُكتشف بعد) غير محتمل.

- في أغسطس من العام الماضي، كان هناك 10,000 جهاز مصاب بالفعل، معظمها في الولايات المتحدة. كما وُجدت مئات الحالات في تايوان وهونغ كونغ وروسيا.

تقنية العمل
يستخدم KadNap بنية Kademlia القائمة على التوازي – جداول تجزئة موزعة تُخفي عناوين IP لخوادم الإدارة. هذا يجعل البوتنت صعب الكشف ومؤقتاً تقريباً ضد الأساليب التقليدية للإزالة.

> «يتميز البوتنت بكونه يستخدم شبكة توزيع متوازية بدلاً من البروكسيات المجهولة»، يذكر كريس فورمس وستيف راد من Black Lotus في مدونة Lumen.
> “الهدف هو تجنب الاكتشاف وتعقيد عمل خبراء أمن المعلومات”.

كيف يتعاملون
- على الرغم من صلابة البوتنت ضد الطرق التقليدية للمنع، طورت Black Lotus طريقة لقطع كل حركة المرور الشبكية بين بنية إدارة البوتنت وباقي العقد.

- تنشر الفريق مؤشرات الاختراق في المصادر المفتوحة حتى يتمكن المنظمات الأخرى من حظر الوصول إلى KadNap بسرعة.

بهذا الشكل، يمثل KadNap بوتنتاً معقداً وموزعاً يستخدم ثغرات Asus وشبكة التوازي لإخفاء إدارتها. ومع ذلك، وجد خبراء Lumen بالفعل طريقة لوقف انتشاره ويقدمون أدوات لحماية الشبكات من العدوى المستقبلية.