Le botnet provenant de milliers de routeurs infectés est difficile à supprimer, mais il existe une méthode efficace pour le combattre.

Un nouveau botnet persistant a été découvert – KadNap

*Des chercheurs de Black Lotus Labs (Lumen) ont identifié un réseau malveillant qui continue de fonctionner malgré les tentatives d’élimination.*

Ce qu’ils ont trouvé
- Le botnet KadNap a touché environ 14 000 routeurs et autres appareils réseau, la plupart provenant du fabricant Asus.

- Le virus se propage via des vulnérabilités non corrigées par les propriétaires d'équipement. La majorité des appareils infectés sont de modèle Asus, car les attaquants ont trouvé un exploit fiable spécifiquement pour cette gamme.

Évaluation de la menace
- Les chercheurs estiment qu’il est peu probable que l’on utilise des zero-days (vulnérabilités encore inconnues).

- En août de l’année dernière, 10 000 appareils étaient déjà infectés, la plupart aux États‑Unis. Des centaines d’autres cas ont également été détectés à Taïwan, Hong Kong et en Russie.

Technologie utilisée
KadNap utilise une architecture pair-à-pair Kademlia – des tables de hachage distribuées qui masquent les adresses IP des serveurs de contrôle. Cela rend le botnet difficile à détecter et presque invulnérable aux méthodes traditionnelles d’élimination.

> « Le botnet se distingue par l’utilisation d’un réseau pair‑à‑pair décentralisé plutôt que de proxies anonymes », déclarent Chris Formos et Steve Radd de Black Lotus dans le blog Lumen.

> “L’intention des attaquants est d’éviter la détection et de compliquer le travail des spécialistes en cybersécurité.”

Comment ils réagissent
- Malgré sa résistance aux méthodes classiques de blocage, Black Lotus a développé un moyen d’interrompre tout le trafic réseau entre l’infrastructure de contrôle du botnet et les autres nœuds.

- L’équipe publie des indicateurs de compromission dans des sources ouvertes afin que d’autres organisations puissent rapidement bloquer l’accès à KadNap.

Ainsi, KadNap constitue un botnet complexe et décentralisé qui exploite les vulnérabilités Asus et un réseau pair‑à‑pair pour masquer son contrôle. Cependant, les spécialistes de Lumen ont déjà trouvé une méthode pour arrêter sa propagation et fournissent des outils pour protéger les réseaux contre une infection future.