Botnet aus tausenden infizierten Routern lässt sich schwer entfernen – es gibt jedoch eine effektive Bekämpfungsmethode.

Ein neuer, stabiler Botnet wurde entdeckt – KadNap

Forscher von Black Lotus Labs (Lumen) haben ein Schadprogramm identifiziert, das trotz Löschversuchen weiterläuft.

Gefunden
- Der KadNap-Botnet hat etwa 14 000 Router und andere Netzwerkgeräte betroffen, überwiegend vom Hersteller Asus.
- Das Virus verbreitet sich über Schwachstellen, die von den Geräteherstellern nicht geschlossen wurden.
Die meisten infizierten Geräte sind Asus‑Modelle, weil die Angreifer einen zuverlässigen Exploit speziell für diese Produktlinie gefunden haben.

Gefahrenbewertung
- Forscher halten es unwahrscheinlich, dass Zero‑Day-Schwachstellen (noch unbekannte) genutzt werden.
- Im August des letzten Jahres waren bereits 10 000 Geräte infiziert, überwiegend in den USA. In Taiwan, Hongkong und Russland wurden ebenfalls mehrere hundert Fälle entdeckt.

Funktionsweise
KadNap nutzt die Peer‑to‑Peer‑Architektur Kademlia – verteilte Hash‑Tabellen, die die IP‑Adressen der Steuerungsserver verschleiern. Dadurch wird das Botnet schwer erkennbar und nahezu unverwundbar gegen herkömmliche Löschmethoden.

> „Der Botnet zeichnet sich dadurch aus, dass er statt anonymer Proxys ein dezentrales Peer‑Netzwerk nutzt“, so Chris Formos und Steve Radd von Black Lotus im Lumen‑Blog.
> „Die Absicht der Angreifer ist es, entdeckt zu werden und die Arbeit von Informationssicherheitsfachleuten zu erschweren.“

Reaktion
- Trotz Widerstandsfähigkeit gegen übliche Blockierungsmaßnahmen hat Black Lotus einen Weg entwickelt, den gesamten Netzwerkverkehr zwischen der Botnet‑Steuerungsinfrastruktur und anderen Knotenpunkten zu unterbrechen.
- Das Team veröffentlicht Kompromissindikatoren in öffentliche Quellen, damit andere Organisationen schnell Zugriff auf KadNap blockieren können.

Damit stellt KadNap ein komplexes, dezentrales Botnet dar, das Asus‑Schwachstellen und ein Peer‑Netzwerk nutzt, um seine Steuerung zu verbergen. Die Lumen‑Experten haben jedoch bereits einen Weg gefunden, die Verbreitung zu stoppen, und stellen Werkzeuge zum Schutz von Netzwerken vor weiterer Infektion zur Verfügung.