إصابة 14,000 راوتر أسوس ببرمجية KadNap الخبيثة المقاومة للإسقاط

بوتنت KadNap، الذي اكتشفته Black Lotus Labs في أغسطس، نمى ليصيب في المتوسط 14,000 راوتر وجهاز شبكة يوميًا حتى مارس 2026، ارتفاعًا من 10,000 إصابة عند الاكتشاف الأولي. الغالبية العظمى من الأجهزة المخترقة هي راوترات أسوس، تقع أساسًا في الولايات المتحدة، مع تجمعات أصغر في تايوان وهونغ كونغ وروسيا. وفقًا لـ Chris Formosa، باحث في Black Lotus Labs التابعة لـ Lumen، تستغل البرمجية الخبيثة الثغرات غير المصححة في هذه الأجهزة، دون الاعتماد على استغلال ثغرات يوم الصفر الجديدة (zero-day exploits). ما يميز KadNap هو استخدامه لهيكل شبكة بين الأقران يعتمد على Kademlia، وهو نظام جدول هاش موزع (DHT) اشتهر أولًا في تقنيات مثل BitTorrent. هذا التصميم يوزع السيطرة، مخفيًا عناوين IP لخوادم القيادة والسيطرة ويجعل البوتنت مقاومًا للغاية لطرق الإسقاط التقليدية. «يبرز بوتنت KadNap بين غيره من البوتنتات التي تدعم البروكسيات المجهولة باستخدام شبكة بين الأقران للسيطرة الموزعة»، كتب Formosa والباحث الزميل Steve Rudd. «نواياهم واضحة: تجنب الكشف وجعل الحماية صعبة على المدافعين». في عملية التشغيل، تعمل KadNap من خلال جعل العقد تستعلم عقدًا أخرى باستخدام عبارة مرور لتحديد موقع بنية السيطرة، وفي النهاية تتلقى ملفات تحتوي على عناوين القيادة والسيطرة. تخدم الأجهزة المصابة كبروكسيات لـ Doppelganger، وهي خدمة مدفوعة الأجر توجه حركة مرور العملاء عبر اتصالات إنترنت سكنية لتمكين الوصول المجهول إلى المواقع المقيدة. طورت Black Lotus Labs طرقًا لمنع حركة المرور إلى بنية سيطرة البوتنت وتشارك مؤشرات الاختراق مثل عناوين IP محددة وهاشات الملفات عبر تغذيات عامة. يمكن للمستخدمين المشتبه في إصابتهم التحقق من سجلات الأجهزة مقابل هذه المؤشرات. لإزالة العدوى، يجب على المالكين إجراء إعادة ضبط مصنعي —إعادة التشغيل وحدها غير كافية، إذ تستمر البرمجية الخبيثة عبر نص shell— والتأكد من تحديث البرمجيات الثابتة وأن كلمات المرور قوية وتعطيل الوصول عن بعد عند عدم الحاجة.