Routers 14,000 Waliambukizwa na Malware Inayostahimili Kushambuliwa

Marekani - Shirika la Habari la Ekhbary

Ugunduzi wa Botnet Tata ya Ruta 14,000 Zilizoambukizwa na Malware Ngumu Kuondoa

Katika maendeleo muhimu ya usalama wa mtandao, watafiti kutoka Black Lotus Labs ya Lumen wamegundua botnet yenye ustahimilivu inayojumuisha takriban ruta 14,000 na vifaa vingine vya mtandao vilivyoambukizwa, huku miundo ya Asus ikionekana zaidi. Mtandao huu umegeuzwa kuwa huduma ya wakala (proxy) inayowezesha shughuli za uhalifu wa mtandaoni bila majina. Malware inayoitwa KadNap, imeundwa ili kukwepa kugunduliwa na kuondolewa, na kuleta tishio la kudumu kwa usalama wa mtandao.

Malware ya KadNap huingia kwenye vifaa kwa kutumia udhaifu unaojulikana na ambao haujafanyiwa marekebisho. Chris Formosa, mtafiti katika Black Lotus Labs, alieleza kuwa kuenea kwa ruta za Asus katika botnet kunawezekana kunatokana na upatikanaji wa njia za ufanisi za kushambulia (exploits) zinazolenga udhaifu maalum wa miundo hii. Alisisitiza kuwa ni jambo lisilowezekana kwa wahalifu kutumia njia za kushambulia za siku sifuri (zero-day exploits), na hivyo kuashiria kuwa uzembe wa watumiaji katika kutumia viraka vya usalama ndio sababu kuu ya kuenea kwa malware. Idadi ya ruta zilizoambukizwa inafikia wastani wa karibu ruta 14,000 kwa siku, ongezeko kutoka kwa vifaa takriban 10,000 vilivyogunduliwa wakati botnet ilipogunduliwa kwa mara ya kwanza na Black Lotus Agosti mwaka jana.

Kijiografia, vifaa vilivyodukuliwa vimejilimbikizia sana nchini Marekani, huku vikundi vidogo zaidi vikipatikana Taiwan, Hong Kong na Urusi. Kipengele kikuu cha KadNap ni muundo wake tata wa peer-to-peer (P2P), ambao umejengwa juu ya itifaki ya mtandao ya Kademlia. Usanifu huu hutumia majedwali ya hash yaliyosambazwa (distributed hash tables - DHTs) kuficha anwani za IP za seva za amri na udhibiti (C2). Utaratibu huu wa udhibiti uliogatuliwa huifanya botnet kustahimili sana mikakati ya kawaida ya kukomesha na mbinu za kugundua.

Formosa, pamoja na mtafiti mwenza Steve Rudd, walisisitiza kuwa mtandao wa P2P wa KadNap kwa udhibiti uliogatuliwa unaitofautisha na botnet nyingine za proxy za majina. "Nia yao iko wazi: kuepuka kugunduliwa na kuwafanya iwe vigumu kwa walinzi kujikinga," walisema katika uchambuzi wao. Jedwali za hash zilizosambazwa zina historia iliyothibitishwa katika kuunda mitandao thabiti ya P2P, inayojulikana zaidi na BitTorrent na Mfumo wa Faili wa Antariksi (IPFS). Tofauti na miundo ya kawaida ya mteja-seva, DHT huruhusu nodi yoyote kwenye mtandao kuuliza nodi nyingine kwa habari, na kuondoa vipengele vya pekee vya kushindwa.

Hali ya maduka ya DHT, pamoja na matumizi ya hash za kriptografia badala ya anwani za IP za moja kwa moja, huipa mtandao ustahimilivu wa asili dhidi ya kukomeshwa na mashambulizi ya kukataliwa kwa huduma (denial-of-service). Ingawa dhana ya DHT inaweza kuwa ngumu, kimsingi hufanya kazi kama miundo ya data iliyosambazwa kote kwenye nodi za mtandao. Ubunifu huu sio tu unaboresha uwezo wa kupanuka – nodi nyingi huleta usambazaji bora wa data – lakini pia huimarisha uvumilivu wa makosa. Ikiwa nodi moja itatoka nje ya mtandao, mtandao unaweza kuelekeza tena maswali kwa wengine. Kiujumla, kuvunja mtandao kama huo kungehitaji kukata muunganisho wa nodi zake zote kwa wakati mmoja.

Kademlia hutumia nafasi ya anwani ya 160-bit kusimamia vitufe (keys - bitstrings za kipekee zinazozalishwa kutoka kwa hash za data) na vitambulisho vya nodi. Kila nodi huhifadhi vitufe vinavyomilikiwa na nodi nyingine, vilivyopangwa kulingana na ukaribu wao na kitambulisho cha nodi inayovihifadhi. Ukaribu huu huhesabiwa kwa kutumia umbali wa XOR, kipimo cha hisabati cha ramani ya mtandao. Wakati nodi inatafuta habari, inauliza wengine, hatua kwa hatua inapunguza utafutaji kulingana na umbali wa XOR hadi kitufe kinacholengwa kipatikane. KadNap, kama lahaja ya Kademlia, hupata vitufe vya utafutaji kupitia nodi ya BitTorrent, na kuwezesha mchakato wa kupata data muhimu ya usanidi au anwani za C2.

Mchakato huo unafanana na mchezo mgumu wa "simu ya siri". Nodi huanzisha mawasiliano na nodi za awali za BitTorrent, ikitangaza hamu ya kushiriki "neno la siri" au kupata mpokeaji. Habari hii hupitishwa kwa "majirani" walio karibu, ambao, hata kama hawaelewi kikamilifu, wanamuelekeza nodi kwa wengine ambao wanaweza. Mchakato huu wa marudio huendelea hadi nodi itambue neno la siri. Baada ya utambulisho uliofanikiwa, nodi hupokea data muhimu, kama vile maagizo ya kufungua bandari ya 22 ya firewall na, muhimu zaidi, anwani ya IP ya seva ya amri na udhibiti ambayo inahitaji kuunganishwa nayo.

Licha ya upinzani mkubwa wa KadNap kwa mbinu za kawaida za kukomesha, Black Lotus Labs inaripoti kuendeleza mbinu ya kipekee ya kuzuia trafiki zote za mtandao zinazohusiana na miundombinu ya udhibiti wa botnet. Maabara inashiriki kikamilifu viashiria vya uharibifu (IoCs) na jumuiya ya usalama wa mtandao kusaidia juhudi pana za ulinzi. Inaripotiwa kuwa vifaa vilivyoambukizwa vinatumiwa kuelekeza trafiki kwa Doppelganger, huduma ya wakala inayolipishwa. Doppelganger huwapa wateja njia ya kutojulikana shughuli zao za mtandaoni, mara nyingi hutumia miunganisho ya intaneti ya makazi ya watu wasiotambua. Huduma hii hutumia uwezo mkubwa wa kipimo data na sifa safi ya IP za ruta za nyumbani zilizoathiriwa ili kuwapa wateja ufikiaji wa kuaminika na usiojulikana kwa tovuti au huduma ambazo vinginevyo zinaweza kuwa na vikwazo.

Wamiliki wa vifaa wanaojali kuhusu uwezekano wa kuambukizwa wanaweza kuangalia orodha iliyotolewa ya anwani za IP na hash za faili ili kuangalia kumbukumbu za ruta zao. Njia pekee yenye ufanisi ya kuondoa malware ya KadNap ni kuweka upya kiwanda kamili cha kifaa kilichoathiriwa. Kuwasha upya tu router haitoshi, kwani KadNap huweka hati ya shell ambayo hufanya kazi kiotomatiki wakati wa kuwasha upya, na kusababisha kuambukizwa tena. Mazoea bora ya usalama, ikiwa ni pamoja na kusakinisha masasisho yote yanayopatikana ya firmware, kutumia manenosiri yenye nguvu ya usimamizi, na kuzima ufikiaji wa mbali isipokuwa kama ni lazima kabisa, ni muhimu kwa kuzuia uharibifu kama huo.

Shirika la Habari la Ekhbary