1.4万台路由器感染高抗打击性恶意软件KadNap
研究人员发现一个由约1.4万台路由器及其他网络设备组成的僵尸网络,主要感染Asus品牌设备,被用于构建匿名代理网络以支持网络犯罪活动。
该恶意软件名为KadNap,通过利用设备所有者未及时修补的安全漏洞进行传播。Lumen公司旗下Black Lotus Labs的研究员Chris Formosa表示,攻击者并未使用零日漏洞,而是利用已知但未修复的漏洞,其中Asus路由器因存在可靠漏洞利用手段而成为主要目标。
自去年8月发现该僵尸网络以来,感染设备数量从1万台上升至目前的约1.4万台,日均感染规模维持在该水平。受感染设备主要分布于美国,其次为台湾、香港及俄罗斯。
KadNap僵尸网络的显着特征是采用基于Kademlia协议的去中心化对等网络结构,利用分布式哈希表(DHT)隐藏命令与控制服务器IP地址。该设计使得传统检测和打击手段难以奏效,网络具备高度抗打击能力。
Black Lotus Labs研究员Chris Formosa与Steve Rudd在报告中指出:"KadNap僵尸网络在支持匿名代理的僵尸网络中,因采用对等网络实现去中心化控制而脱颖而出。其意图明确:规避检测,增加防御难度。"
分布式哈希表技术此前广泛应用于BitTorrent和星际文件系统(IPFS)等去中心化网络,其优势在于无需集中服务器,节点可自主查询目标设备,IP地址被哈希值替代,从而提升网络对断网或拒绝服务攻击的抵御能力。
编辑点评
此次发现的KadNap僵尸网络凸显了当前网络攻击技术向去中心化、抗打击方向演进的趋势。其采用Kademlia协议与分布式哈希表,不仅提高了攻击隐蔽性,也极大增加了执法和安全机构的处置难度。该事件对全球网络安全治理构成警示:物联网设备的漏洞管理已成为关键风险点,尤其像Asus这类广泛部署的路由器品牌,其固件更新机制若不完善,极易成为攻击跳板。
从国际影响看,该僵尸网络主要感染美国及部分亚太地区设备,反映出全球网络空间安全防护能力存在不均衡。其支持的匿名代理服务可能被用于洗钱、数据窃取、DDoS攻击等跨国犯罪,对全球数字秩序构成潜在威胁。
未来,此类高抗打击僵尸网络可能成为常态,推动各国加强物联网设备安全标准制定,推动安全厂商研发基于行为分析与网络拓扑识别的新一代防御技术。同时,跨国协同打击机制的建立将变得愈发紧迫,单一国家的执法行动难以有效遏制此类去中心化威胁。