KadNap adlı yeni bir botnet, 2025 yazından bu yana aktif. Black Lotus Labs'taki araştırmacılar tarafından tespit edilen bu botnet, esas olarak Asus yönlendiricilerine saldırıyor. Sadece birkaç ay içinde dünya çapında yaklaşık 14.000 cihazın güvenliği ihlal edildi ve bunların IP adresleri kiraya verildi.
Geçen yazın sonunda yeni bir botnet ortaya çıktı: KadNap. Black Lotus Labs'taki araştırmacılar tarafından tanımlanan botnet, esas olarak internette açığa çıkan yönlendiricileri ve ağ ekipmanlarını hedef alıyor. KadNap'in kontrolü altındaki cihaz ağı çok hızlı bir şekilde büyüdü.
Ağustos 2025 ile 2026'nın başı arasında kötü amaçlı yazılım, yaklaşık 14.000 cihaza bulaşıyor. Bunlar çoğunlukla Asus markalı yönlendiricilerdir. Saldırıya uğrayan yönlendiricilerin %60'ından fazlası Amerikan topraklarındadır. Kadnap tarafından kontrol edilen cihazların geri kalanı Tayvan, Hong Kong ve Rusya'da bulunmaktadır.
Ayrıca okuyun: Bir botnet'in akıllı telefonunuzu, PC'nizi, TV'nizi veya İnternet kutunuzu hacklediğini nasıl anlarsınız?
KadNap botnetinin perde arkası
Araştırmanın ardından araştırmacılar, KadNap'in bulaştığı tüm cihazların talimatlarını aynı sunuculardan almadığını fark etti. Uzmanlar belirledi ilk kontrol altyapısıSaldırıya uğramış Asus yönlendiricilerini kontrol etmek için özel olarak tasarlanmıştır. Bu sunucuya ek olarak bilgisayar korsanları, tüm operasyonu özellikle dayanıklı kılan iki kontrol altyapısına daha güveniyor.
KadNap, parçalanmayı önlemek için tek bir komut sunucusuna değil, birbirine bilgi gönderen virüslü cihazlardan oluşan bir ağa güveniyor. Kademlia adı verilen P2P teknolojisinden ilham alan bu sistem, işi çok daha zorlaştırıyor kontrol eden bilgisayarların tanımlanması aslında botnet. Somut olarak, bilgisayar korsanları bu teknolojiyi kullanıyor “Altyapılarının IP adresini eşler arası bir sistem içinde gizlemek ve böylece geleneksel ağ izlemesinden kaçmak”.
Ancak siber suçlular protokollerini uygulamada hata yaptılar. Araştırmacılar bu nedenle KadNap'in sipariş sunucularına ulaşmadan önce neredeyse her zaman aynı iki makineden geçtiğini keşfetti. Bu sayede botnet'in asıl başında yer alan kontrol altyapısını tespit etmek mümkün oldu.
Black Lotus Labs araştırmalarına göre enfeksiyon, yönlendiricinin komut dosyası biçiminde küçük bir kötü amaçlı program indirmesiyle başlıyor. Bu komut dosyası sisteme yüklenir ve her 55 dakikada bir otomatik olarak yeniden başlatılan zamanlanmış bir görev oluşturur. Bu taktik, cihaz yeniden başlatılsa veya bazı dosyalar silinse bile virüsün aktif kalmasını sağlar. Bu yapıldıktan sonra, komut dosyası gerçek kötü amaçlı yükü yönlendiriciye indirir.
Ayrıca okuyun: “Eşi görülmemiş bir bombardıman” – bir botnet yeni bir rekor siber saldırı başlattı
Bilgisayar korsanlarına kiralanan bir IP adresi
KadNap kötü amaçlı yazılımı kontrolü ele geçirdiği anda, ele geçirilen yönlendiriciyi bir proxy'ye dönüştürecektir. Başka bir deyişle, bilgisayar korsanları yönlendiricinin IP adresini diğer siber suçlulara kiralamak. Açıkçası bunu, cihaz sahibinin bilgisi olmadan tüm kötü niyetli trafiğini geçirmek için kullanacaklar. Böylece radarın altına giriyorlar. Bunu yapmak için KadNap'in arkasındaki bilgisayar korsanları ilk olarak az önce bulaştırdıkları yönlendiricinin IP adresine bakacaklar. Bu sayede gelecekteki müşterilerine, kendilerine sundukları IP adresinin nereden geldiğini söyleyebilecekler.
Araştırmalar KadNap botnet'inin aslında güç sağladığını gösterdi İkizProxy'leri İnternet kullanıcılarının kullanımına sunan çevrimiçi bir mağaza. Araştırmacılar bunun muhtemelen TheMoon botnet'iyle ilişkili bir proxy hizmeti olan Faceless'ın yeni adı olduğuna inanıyor. Bu botnet aynı zamanda Asus yönlendiricilerini hackleme konusunda da uzmanlaştı. Platform özel olarak tasarlanmıştır “Suç faaliyetleri nedeniyle”. Yönlendiriciler saldırıya uğradığında ve Doppelganger'da kiralandığında, web sitesi sunucularını doyurmayı amaçlayan DDoS (Dağıtılmış Hizmet Reddi) saldırılarının bir parçası olarak ve hatta bir şifreyi kırmak için kaba kuvvet saldırıları olarak kullanılacak.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın