Spis treści
No to bez lania wody
KadNap to malware opisane przez Black Lotus Labs, które przejęło ponad 14 tysięcy urządzeń brzegowych i wykorzystuje je jako zaplecze do ukrywania złośliwego ruchu w modelu residential proxy. W praktyce oznacza to tyle, że cudze ataki mogą wychodzić z Twojego adresu IP, a Twój router robi za darmowego pracownika jakiejś szemranej infrastruktury.
Najciekawsze w tym wszystkim jest to, że KadNap nie działa jak klasyczny botnet z jednym serwerem dowodzenia, który można po prostu odciąć. Zamiast tego używa Kademlia DHT, czyli zdecentralizowanego mechanizmu P2P znanego z innych sieci rozproszonych, dzięki czemu całość jest bardziej odporna na wyłączenie.
Co wiadomo, a czego nie
I tu dochodzimy do rzeczy, która najbardziej irytuje w wielu publikacjach: badacze nie podali publicznie pełnej listy podatnych modeli routerów ani jednego jasno wskazanego numeru CVE przypisanego do całej kampanii, jednak najbliższymi kandydatami (udało się ich wytypować po research’u) są CVE-2025-2492, CVE-2024-12912 oraz CVE-2024-13062.
Wiadomo natomiast, że celem były przede wszystkim routery ASUS oparte o architektury ARM i MIPS, a atak nie wygląda na zero-day, tylko raczej na wykorzystanie znanych, starych i niezałatanych luk w urządzeniach wystawionych do internetu. Innymi słowy: problemem nie jest „magiczna nowa broń”, tylko stary firmware, zdalny dostęp od strony WAN i klasyczek „zaktualizuję kiedyś”.
Jak wygląda infekcja
Z dostępnych informacji wynika, że po skutecznym wejściu na urządzenie malware pobiera skrypt aic.sh z adresu 212.104.141.140, a potem buduje sobie mechanizm przetrwania w harmonogramie zadań, zwykle pod nazwą .asusrouter. Następnie uruchamiany jest właściwy plik wykonywalny widoczny jako proces kad, a dodatkowo infekcja potrafi blokować usługę SSH na porcie 22, żeby utrudnić właścicielowi diagnostykę i sprzątanie.
To ważny detal, bo zwykły restart routera zazwyczaj nie daje tu niczego trwałego. Jeśli malware zdążył umieścić się w harmonogramie zadań (cron), to po ponownym uruchomieniu system sam go odtworzy. Z kolei jeśli złośliwy kod zagnieździł się dodatkowo w pamięci NVRAM, to sprawa jest jeszcze gorsza – twardy reset (hard reset) to absolutne minimum. W takich przypadkach klasyczne „wyłącz z prądu i będzie dobrze” ma mniej więcej taką skuteczność, jak resetowanie drukarki, w której właśnie skończył się toner.
Jak sprawdzić, czy router został zainfekowany (Instrukcja krok po kroku)
Do tego zadania na szczęście, nie potrzebujesz dyplomu z informatyki. Zrobimy to krok po kroku.
Krok 1: Włącz SSH w routerze ASUS
Domyślnie routery nie pozwalają na logowanie się przez tzw. wiersz poleceń z powodów bezpieczeństwa. Musimy to na chwilę włączyć:
1. Zaloguj się do panelu swojego ASUS-a przez przeglądarkę (zazwyczaj adres 192.168.1.1 lub 192.168.50.1).
2. W menu po lewej stronie znajdź sekcję Administracja (Administration) i przejdź do zakładki System.
3. Znajdź opcję Włącz SSH (Enable SSH) i z rozwijanego menu wybierz Tylko LAN (LAN only). Pamiętaj: nigdy nie wybieraj LAN & WAN!
4. Zapisz ustawienia na dole strony (Zastosuj).
Krok 2: Pobierz darmowy program PuTTY
SSH to specjalny, szyfrowany protokół komunikacji. Do połączenia się z routerem potrzebujesz małego, darmowego programu o nazwie PuTTY (to klasyk w branży IT).
1. Ściągnij PuTTY z oficjalnej strony i uruchom (nawet nie musisz go instalować).
2. W polu Host Name (or IP address) wpisz adres IP swojego routera (ten sam, którym logujesz się przez przeglądarkę).
3. Wciśnij Open. Pojawi się czarne okienko z prośbą o login – wpisz nazwę użytkownika routera (zatwierdź Enterem), a potem hasło do routera (uwaga: podczas wpisywania hasła nie widać gwiazdek ani kropek, po prostu pisz w ciemno i wciśnij Enter).
Krok 3: Biegamy po systemie routera
Skoro masz już otwarte to czarne, hakerskie okienko (tzw. terminal), czas poszukać śladów KadNap:
1. Sprawdzamy ukryte procesy (ps lub top)
Wpisz komendę top (i wciśnij Enter). Zobaczysz odświeżającą się listę aktualnie działających programów na Twoim routerze (coś jak Menedżer zadań w Windowsie). Poszukaj w kolumnie Command programu o nazwie kad. Jeśli go nie ma, wciśnij na klawiaturze Ctrl+C, żeby z tego wyjść lub wciśnij małe q. Możesz też po prostu wpisać ps, nacisnąć Enter i przejrzeć statyczną listę.
2. Sprawdzamy złośliwe zadania (crontab -l)
KadNap jest uparty i dopisuje się do systemu, żeby uruchamiać się po restarcie routera. W czarnym okienku PuTTY wpisz komendę:crontab -l (to jest mała litera L na końcu) i wciśnij Enter.
Jeśli na wyświetlonej liście zobaczysz podejrzany wpis np. .asusrouter lub aic.sh – to silna przesłanka infekcji i warto to dalej zweryfikować. Brak takich wpisów nie gwarantuje jednak, że router jest czysty, bo malware może utrzymywać się innymi metodami.
3. Dla pewności przeszukajmy jeszcze cały system:
find / -name ".asusrouter.sh" 2>/dev/null
find / -name ".aic.sh" 2>/dev/null
Krok 4: Sprawdzamy logi w panelu (Opcja dla opornych)
Jeśli nie czujesz się na siłach, możesz sprawdzić logi w panelu jako wskaźnik ryzyka, ale pamiętaj, że zainfekowany router może je maskować. SSH to bardziej pewna metoda.
1. W panelu administracyjnym routera ASUS przejdź do zakładki Logi systemowe (System Log), a potem Logi połączeń (Connections).
2. Przejrzyj listę adresów IP, z którymi łączy się Twój router. Jeśli non stop pluje pakietami do rosyjskiego adresu 212.104.141.140 lub mieli ogromne, niczym nieuzasadnione ilości połączeń UDP do tysięcy losowych adresów (cecha botnetów P2P) – sprawa jest przesądzona.
Jak to usunąć i co z Merlinem
Dobra wiadomość jest taka, że z tego da się wyjść. Zła jest taka, że sam reboot to za mało, jeśli infekcja zdążyła już wpiąć się w cron.
Najrozsądniejsza procedura wygląda tak:
1. Pobierz najnowszy dostępny dla Twojego routera firmware ze strony Asus’a. lub lepiej Merlin’a 😉
2. Zrób pełny hard reset routera do ustawień fabrycznych.
2. Od razu po resecie (bez podłączania do internetu) zaktualizuj firmware (plikiem z dysku) do najnowszej wersji.
3. Skonfiguruj urządzenie od nowa i wyłącz zdalny dostęp administracyjny od strony WAN, jeśli nie jest naprawdę potrzebny.
4. Ustaw mocne hasło administratora i sprawdź jeszcze raz procesy, cron oraz logi ruchu.
A co z Asuswrt-Merlin? Tu odpowiedź jest dość prosta: Merlin zazwyczaj dostaje patche szybciej niż ASUS, ale jeśli Twoja wersja była nieaktualizowana to również mogła być narażona, jeśli podatność dotyczyła niezałatanego komponentu obecnego w bazowym firmware. Jeśli jednak system był aktualizowany na bieżąco, to ryzyko znacząco maleje, bo cała kampania opiera się właśnie na starych, publicznie znanych problemach, a nie na jakiejś kosmicznej luce z innego wymiaru.
Ja pier% co chila coś. Niedawno zmieniałem tp-linka bo dziurawiec, a tu masz. Znowu trzeba będzie szukać coś nowego.
Dziękuję. Sprawdziłam u Siebie i na szczęście u mnie nic nie wykryło