Botnetz auf 14.000 Routern ist durch P2P-Technik kaum zu stören
Sicherheitsforscher haben ein besonders widerstandsfähiges Botnetz entdeckt, das sich derzeit aus rund 14.000 infizierten Routern und anderen Netzwerkgeräten zusammensetzt. Die betroffenen Geräte stammen überwiegend vom Hersteller Asus.
Das Botnetz ist seit seiner ersten Entdeckung im vergangenen August gewachsen: Damals zählten die Forscher etwa 10.000 infizierte Geräte, inzwischen sind es durchschnittlich rund 14.000. Die meisten kompromittierten Router befinden sich in den USA, kleinere Gruppen aber auch in Taiwan, Hongkong und Russland.
Besonders auffällig ist die technische Architektur des Netzwerks. KadNap nutzt ein dezentrales Peer-to-Peer-System auf Basis der sogenannten Kademlia-Struktur. Dabei kommen verteilte Hash-Tabellen zum Einsatz, die die eigentlichen IP-Adressen der Steuerungsserver verschleiern. Diese Technik macht es erheblich schwieriger, das Netzwerk aufzuspüren oder durch klassische Maßnahmen abzuschalten.
Im Gegensatz zu herkömmlichen Botnetzen gibt es bei dieser Struktur keinen zentralen Server, der alle infizierten Geräte steuert. Stattdessen fragen die einzelnen Geräte andere Teilnehmer im Netzwerk nach den benötigten Informationen. Die Daten werden dabei über viele Knoten verteilt gespeichert. Fällt ein Teil des Netzwerks aus, können andere Knoten die Aufgaben übernehmen.
Ähnliche Technologien werden seit Jahren in Peer-to-Peer-Netzwerken wie BitTorrent verwendet. Sie gelten als besonders robust, weil sie auch bei Ausfällen einzelner Geräte weiter funktionieren. Im Fall von KadNap dient diese Technik dazu, die Infrastruktur der Angreifer möglichst schwer angreifbar zu machen.
Die infizierten Geräte werden derzeit für einen kostenpflichtigen Proxy-Dienst genutzt. Dabei wird der Internetverkehr von Kunden über die privaten Internetanschlüsse der unwissenden Router-Besitzer geleitet. Das ermöglicht anonymes Surfen mit scheinbar unauffälligen, privaten IP-Adressen.
Nutzer, die einen Befall vermuten, sollten ihre Geräte auf Werkseinstellungen zurücksetzen, aktuelle Firmware installieren, sichere Administrator-Passwörter verwenden und Fernzugriffe deaktivieren. Ein einfacher Neustart reicht nicht aus, da sich die Schadsoftware beim Start des Routers automatisch erneut aktiviert.
Siehe auch:
Meist Asus betroffen
Die zugrunde liegende Schadsoftware, die von den Forschern "KadNap" genannt wird, nutzt Sicherheitslücken in Geräten aus, die von ihren Besitzern nicht mit Updates versorgt wurden. Laut der Analyse des Sicherheitsunternehmens Lumen Black Lotus Labs handelt es sich dabei vermutlich nicht um bislang unbekannte Schwachstellen. Vielmehr hätten die Angreifer offenbar zuverlässige Exploits für bereits bekannte Sicherheitsprobleme insbesondere bei Asus-Routern entwickelt.Das Botnetz ist seit seiner ersten Entdeckung im vergangenen August gewachsen: Damals zählten die Forscher etwa 10.000 infizierte Geräte, inzwischen sind es durchschnittlich rund 14.000. Die meisten kompromittierten Router befinden sich in den USA, kleinere Gruppen aber auch in Taiwan, Hongkong und Russland.
Besonders auffällig ist die technische Architektur des Netzwerks. KadNap nutzt ein dezentrales Peer-to-Peer-System auf Basis der sogenannten Kademlia-Struktur. Dabei kommen verteilte Hash-Tabellen zum Einsatz, die die eigentlichen IP-Adressen der Steuerungsserver verschleiern. Diese Technik macht es erheblich schwieriger, das Netzwerk aufzuspüren oder durch klassische Maßnahmen abzuschalten.
Im Gegensatz zu herkömmlichen Botnetzen gibt es bei dieser Struktur keinen zentralen Server, der alle infizierten Geräte steuert. Stattdessen fragen die einzelnen Geräte andere Teilnehmer im Netzwerk nach den benötigten Informationen. Die Daten werden dabei über viele Knoten verteilt gespeichert. Fällt ein Teil des Netzwerks aus, können andere Knoten die Aufgaben übernehmen.
Ähnliche Technologien werden seit Jahren in Peer-to-Peer-Netzwerken wie BitTorrent verwendet. Sie gelten als besonders robust, weil sie auch bei Ausfällen einzelner Geräte weiter funktionieren. Im Fall von KadNap dient diese Technik dazu, die Infrastruktur der Angreifer möglichst schwer angreifbar zu machen.
Bezahlter Proxy-Service
Trotz dieser Struktur glauben die Forscher, eine Möglichkeit gefunden zu haben, den Datenverkehr zu den Betreibern zu blockieren. Hinweise auf kompromittierte Systeme wurden zudem öffentlich bereitgestellt, damit Betreiber von Netzwerken entsprechende Verbindungen sperren können.Die infizierten Geräte werden derzeit für einen kostenpflichtigen Proxy-Dienst genutzt. Dabei wird der Internetverkehr von Kunden über die privaten Internetanschlüsse der unwissenden Router-Besitzer geleitet. Das ermöglicht anonymes Surfen mit scheinbar unauffälligen, privaten IP-Adressen.
Nutzer, die einen Befall vermuten, sollten ihre Geräte auf Werkseinstellungen zurücksetzen, aktuelle Firmware installieren, sichere Administrator-Passwörter verwenden und Fernzugriffe deaktivieren. Ein einfacher Neustart reicht nicht aus, da sich die Schadsoftware beim Start des Routers automatisch erneut aktiviert.
Zusammenfassung
- Botnetz aus rund 14.000 infizierten Routern vor allem von Asus entdeckt
- Schadsoftware KadNap nutzt bekannte Sicherheitslücken ungepatchter Geräte
- Dezentrale Peer-to-Peer-Struktur macht das Netzwerk sehr robust
- Kademlia-basierte Hash-Tabellen verschleiern die Steuerungsserver
- Infizierte Router dienen als anonymer Proxy-Dienst für zahlende Kunden
- Seit August gewachsen: von etwa 10.000 auf durchschnittlich 14.000 Geräte
- Betroffene sollten Werksreset durchführen und aktuelle Firmware nutzen
Siehe auch:
Thema:
Videos von Asus-Geräten
-
Asus Zenbook Duo: Notebook mit zwei Displays im Praxistest
-
Asus Zenbook A14: Leichtgewicht mit starker Ausstattung im Test
-
Asus Vivobook S15: Copilot+ PC mit Snapdragon X Elite getestet
-
Asus Zenbook S16: Notebook mit Ceraluminum-Gehäuse und Ryzen AI
-
Asus ROG Ally X: Fast überall doppelt so gut wie sein Vorgänger
Asus RTX 4090 im Preisvergleich:
Neue Asus-Downloads
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Notebooks:
![Apple MacBook Air 13" M5, Midnight, M5 - 10 Core CPU / 8 Core GPU, 16GB RAM, 512GB SSD, DE [2026] (MDHE4D/A / Z1L6)](https://i.wfcdn.de/gzhls/pix/8c/e2/8ce2278398a7886c-t.webp)
![Apple MacBook Pro 14.2", Space Black, M5 Pro - 15 Core CPU / 16 Core GPU, 24GB RAM, 1TB SSD, DE [2026] (MGDR4D/A)](https://i.wfcdn.de/gzhls/pix/8c/82/8c825726b965406e-t.webp)
![Apple MacBook Neo, silber, A18 Pro, 8GB RAM, 256GB SSD, DE [2026] (MHFA4D/A)](https://i.wfcdn.de/gzhls/pix/75/20/75202217ee3df14e-t.webp)
![Apple MacBook Air 13", Midnight, M4 - 10 Core CPU / 8 Core GPU, 16GB RAM, 256GB SSD, DE [2025] (MW123D/A / Z1CX)](https://i.wfcdn.de/gzhls/pix/d0/9e/d09e03c3303fd0cb-t.webp)
![Apple MacBook Pro 16.2", Space Black, M5 Pro - 18 Core CPU / 20 Core GPU, 48GB RAM, 1TB SSD, DE [2026] (MGEC4D/A)](https://i.wfcdn.de/gzhls/pix/e5/65/e565e8be80ce1bfc-t.webp)
Weiterführende Links
Neue Nachrichten
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
- Massiver Firewall-Hack: Viele der wichtigsten Netze der Welt geknackt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen