Un nuovo malware battezzato KadNap sta seminando il panico tra i proprietari di router ASUS in tutto il mondo. La minaccia, individuata lo scorso agosto dal team di sicurezza di Black Lotus Labs (la divisione di Lumen Technologies), rappresenta uno dei più gravi attacchi infrastrutturali degli ultimi mesi, con un numero di dispositivi compromessi che cresce costantemente: dai circa 10mila rilevati inizialmente si è arrivati a 14mila unità infette al giorno. La situazione più critica riguarda gli Stati Uniti, dove risiede il 60% dei router attaccati, anche se l'Italia non è stata risparmiata da questa ondata di infezioni.
Ciò che rende KadNap particolarmente insidioso è la metodologia utilizzata dai criminali informatici. Il malware sfrutta presumibilmente vulnerabilità non patchate nei router ASUS, in particolare su dispositivi obsoleti sui quali i proprietari non hanno aggiornato il firmware. Una volta compromesso, il router diventa parte di una rete distribuita controllata da remoto attraverso una versione modificata del protocollo Kademlia, lo stesso sistema peer-to-peer utilizzato da molti programmi di condivisione file. Il processo di infezione inizia con il download di uno script dannoso che si radica nel dispositivo tramite cron job, per poi installare il vero client malware.
La sofisticazione tecnica di questo attacco risiede nell'infrastruttura di comando e controllo. Una volta attivato, KadNap rileva l'indirizzo IP esterno del router e sincronizza l'ora contattando server NTP, quindi stabilisce una comunicazione con i nodi di controllo remoto attraverso la rete Kademlia personalizzata. Questo approccio distribuito è stato concepito per eludere i sistemi di monitoraggio del traffico tradizionali, rendendo difficile l'identificazione dell'infrastruttura criminale. Tuttavia, gli esperti di Black Lotus Labs hanno scoperto un punto debole cruciale: due nodi della rete rimangono sempre gli stessi prima di raggiungere i server C2 (command and control), permettendo così ai ricercatori di mappare e bloccare il traffico malevolo.
Per proteggersi da KadNap, gli utenti devono adottare una strategia difensiva a più livelli. In primo luogo, è essenziale disattivare l'accesso remoto ai propri router e implementare password di amministrazione sufficientemente robuste. Ancor più importante, bisogna verificare la disponibilità di aggiornamenti firmware recenti per il proprio modello di dispositivo ASUS e installarli tempestivamente. Per chi possiede router più datati, gli esperti consigliano di valutare seriamente la sostituzione con modelli più nuovi e supportati, considerando che i dispositivi obsoleti rappresentano il bersaglio preferito dei cybercriminali. La scoperta della botnet KadNap rappresenta un ulteriore campanello d'allarme sull'importanza della manutenzione costante dell'infrastruttura di rete domestica.
