NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета

«Лаборатория Касперского» недавно обнаружила новую многофункциональную вредоносную программу под названием NKAbuse, которая использует децентрализованный протокол связи NKN для обмена данными между заражёнными устройствами.

NKN описывается как программная оверлей-сеть, построенная поверх классического интернета, которая позволяет пользователям делиться неиспользуемой пропускной способностью и получать за это вознаграждения в токенах. Она включает в себя блокчейн-слой над существующим стеком протоколов TCP/IP.

Хотя известно, что злоумышленники часто используют новые протоколы связи для контроля и управления вредоносными программами, чтобы избежать обнаружения, NKAbuse интегрирует блокчейн-технологию для проведения DDoS-атак и функционирования в качестве имплантата в скомпрометированных системах.

В частности, она использует протокол NKN для связи с оператором ботнета и получения/отправки команд. Вредоносная программа реализована на языке программирования Go и, судя по всему, используется в основном для атак на системы Linux, включая IoT-устройства.

Пока неизвестно, насколько широко распространены эти атаки. Однако в одном из случаев, выявленных «Лабораторией Касперского», злоумышленники использовали 6-летнюю критическую уязвимость в Apache Struts ( CVE-2017-5638 , оценка CVSS 10,0) для взлома неназванной финансовой компании.

Успешная эксплуатация уязвимости приводит к загрузке начального шелл-скрипта, ответственного за скачивание имплантата с удалённого сервера. Сервер, который является хостом для вредоносной программы, содержит 8 различных версий NKAbuse для поддержки разных архитектур ЦП.

Другой важной особенностью NKAbuse является отсутствие механизма самораспространения. То есть доставка вредоносной программы на целевую систему должна осуществляться исключительно через другие векторы атаки.

По словам исследователей, эта программа была разработана специально для интеграции в ботнет. Однако она также может адаптироваться для функционирования в качестве бэкдора на конкретном хосте.

Кроме того, использование блокчейн-технологии обеспечивает надёжность и анонимность, что указывает на потенциал этого ботнета к постоянному расширению во времени в отсутствие идентифицируемого центрального контроллера.

Ли Чжэн, основатель NKN, заявил, что его команда была удивлена, узнав о использовании их протокола таким образом. «Мы создали NKN для обеспечения подлинно децентрализованной связи, которая является безопасной, конфиденциальной и масштабируемой. Мы узнаем больше об этом отчёте, чтобы вместе сделать Интернет безопасным и нейтральным», — сказал Чжэн.

Таким образом, появление децентрализованного протокола связи с поддержкой блокчейна открыло новые возможности не только для разработчиков приложений и простых пользователей, но и для киберпреступников. Это определённо тревожный сигнал, который требует пристального внимания со стороны экспертов в области кибербезопасности. Возможно, злонамеренную эксплуатацию NKN удастся остановить совместными усилиями сообщества и специалистов, однако хакерская смекалка уже не раз доказывала, что обходной путь удастся найти всегда.