شبكة بوتات JDY

رصد باحثو الأمن السيبراني عودةً ملحوظةً وتوسعاً كبيراً لشبكة JDY، وهي شبكة سرية مرتبطة بجهات تهديد مدعومة من الدولة ومتحالفة مع الصين. وقد تم رصد JDY في البداية في ديسمبر 2023 كمجموعة ضمن بنية شبكة KV-botnet الأوسع، ثم تطورت لتصبح منصة استطلاع مستقلة وفعالة للغاية.

تتألف الشبكة من أكثر من 1500 جهاز مخترق من أجهزة المكاتب الصغيرة/المكاتب المنزلية (SOHO) وأجهزة إنترنت الأشياء (IoT). وبدلاً من استخدامها بشكل أساسي للهجمات المباشرة، تعمل JDY كنظام مسح مركزي عالي الأداء قادر على اكتشاف وتحديد بصمات الأجهزة ورسم خرائط مستمرة للخدمات المكشوفة على الإنترنت على نطاق واسع.

سبق لجماعات التهديد الصينية، بما في ذلك فولت تايفون، أن استغلت الشبكة لدعم جهود جمع المعلومات الاستخباراتية وتحديد الأهداف.

التكيف بعد إزالة شبكة بوتات KV

بعد أن فككت الحكومة الأمريكية شبكة KV-botnet في أوائل عام 2024، عدّل مشغلو JDY أساليب عملهم. وبينما اختفت مجموعة KV الثانوية إلى حد كبير، استمرت JDY في التطور والتوسع. ويعتقد الباحثون أن البنية التحتية قد تكون مشتركة مع العديد من مجموعات القرصنة الصينية، بالإضافة إلى استخدامها مباشرةً من قبل مشغليها لأغراض الاستطلاع.

كشفت التحقيقات الحديثة أن البرمجية الخبيثة تستهدف الآن نطاقًا أوسع بكثير من الأجهزة، وتعمل كطبقة لجمع البيانات ضمن منظومة مسح أوسع. تُغذّى معلومات الاستطلاع المنظمة التي تجمعها JDY إلى أنظمة تُسهّل اختيار الأهداف وأنشطة الاستغلال اللاحقة.

ومما يثير القلق بشكل خاص دور شركة JDY في تحديد الأنظمة المعرضة للخطر بسرعة بعد الكشف عن الثغرات الأمنية علنًا. يشير هذا السلوك إلى وجود عملية استطلاع منظمة للغاية، تستخدم نتائجها لاحقًا جهات فاعلة تابعة للدولة الصينية.

النمو السريع والتوسع العالمي

شهدت شبكة الروبوتات نموًا ملحوظًا، إذ ارتفع عدد الأجهزة المصابة من حوالي 650 جهازًا في يناير 2024 إلى أكثر من 1500 نظام مخترق. تتركز معظم العقد المصابة في الولايات المتحدة والبرازيل، مع وجود تجمعات إضافية في أنحاء أوروبا وآسيا. ويعكس تزايد عدد الأجهزة البرازيلية اتجاهًا أوسع نطاقًا يتمثل في اعتماد شبكات الروبوتات بشكل متزايد على الأنظمة المخترقة في البرازيل.

كما أصبح نظام أجهزة JDY أكثر تنوعًا بشكل ملحوظ. فبينما كانت الإصدارات السابقة تعتمد بشكل أساسي على أجهزة التوجيه Cisco RV320 وRV325، تتضمن الشبكة الحالية أجهزة من موردين متعددين:

• سيسكو
• أراكنس
• شبكات ميموزا
• يوبيكويتي

يعزز هذا التنوع مرونة الشبكة ويوسع نطاق عملياتها.

الاندماج في حركة مرور الإنترنت المشروعة

يتألف جزء كبير من بنية JDY التحتية من أجهزة SOHO وأجهزة إنترنت الأشياء الموجودة في الولايات المتحدة. يُمكّن هذا التوزيع المشغلين من تجاوز العديد من ضوابط الأمان التقليدية، بما في ذلك قيود تحديد الموقع الجغرافي، وتصفية سمعة عناوين IP، وقوائم الحظر الثابتة.

من خلال نشر أنشطة الاستطلاع عبر آلاف عناوين IP المخترقة، يقلل المشغلون من احتمالية تحديد أي نظام منفرد وحظره كمصدر للمسح. علاوة على ذلك، يسمح استخدام أجهزة المستهلكين والشركات الصغيرة المشروعة بدمج حركة المرور الضارة بشكل أكثر سلاسة مع نشاط الإنترنت العادي، مما يجعل اكتشافها أكثر صعوبة.

بنية تحتية متعددة الطبقات مصممة للتخفي

يعمل برنامج JDY من خلال بنية معقدة ومتعددة الطبقات. يستخدم المهاجمون عقد Tor لإدارة كل من بنية القيادة والتحكم (C2) وخوادم تسليم الحمولة، مما يساعد على إخفاء النشاط التشغيلي.

بدلاً من إجراء عمليات مسح عشوائية على مستوى الإنترنت، تُسند خوادم القيادة والسيطرة مهام استطلاع وتحليل مُستهدفة للأجهزة المُصابة. تُرسل المعلومات المُجمّعة إلى خوادم مركزية، حيث تُجمع وتُحلل لدعم عمليات الأمن السيبراني الصينية الأوسع وأهدافها الاستراتيجية.

استغلال الثغرات الأمنية التي تم الكشف عنها حديثًا

تستغل سلاسل الهجمات المرتبطة بـ JDY بشكل متكرر الثغرات الأمنية المنشورة حديثًا في الأجهزة الطرفية، بما في ذلك ثغرات مثل CVE-2026-35616. ويؤدي الاستغلال الناجح إلى تسليم برنامج نصي برمجي يقوم أولاً بالتحقق مما إذا كانت البرمجية الخبيثة موجودة بالفعل على النظام المستهدف.

في حال عدم اكتشاف أي إصابة نشطة، يقوم برنامج التثبيت بجلب حمولة البرمجيات الخبيثة المناسبة بناءً على بنية معالج الضحية، بما في ذلك إصدارات لأنظمة MIPS وMIPS64 وMIPSEL وMIPSEL64. وبمجرد تشغيلها، تزيل البرمجيات الخبيثة التي تم تنزيلها نفسها من القرص لتقليل إمكانية رصدها من قبل الأدلة الجنائية الرقمية.

قدرات استطلاع متقدمة ومسح تكيفي

يتمثل الغرض الأساسي للبرمجية الخبيثة في جمع المعلومات الاستخباراتية بدلاً من الاستغلال المباشر. وبمجرد تفعيلها، تقوم بتحديد بصمة الجهاز المضيف المخترق، وتتلقى مهام المسح من البنية التحتية للتحكم المركزي، وتجري عمليات فحص واسعة النطاق للشبكة، وتجمع بيانات الاستجابة مثل شهادات TLS وبيانات تعريف الخدمة، وترسل النتائج إلى خوادم الإرسال.

محرك الفحص الخاص به قابل للتكيف بدرجة عالية، ويقوم بتعديل سلوكه وفقًا للصلاحيات المتاحة على الجهاز المصاب:

عندما يكون الوصول على مستوى الجذر متاحًا، يقوم البرنامج الضار بفتح منافذ خام وإجراء مسح SYN عالي السرعة باستخدام حزم TCP مصممة خصيصًا.
عندما تكون الامتيازات المرتفعة غير متاحة، أو عندما تكون هناك حاجة إلى الاستطلاع عبر الويب، فإنه يعتمد على اتصالات TCP وTLS القياسية ويمكنه أيضًا استخدام تقنيات التحقيق القائمة على UDP وICMP.

تتيح هذه المرونة لشركة JDY تحقيق أقصى قدر من فعالية الاستطلاع عبر مجموعة واسعة من الأنظمة المخترقة.

قدرة استطلاع مستمرة للجهات الفاعلة الصينية المهددة

يعتقد الباحثون أن المعلومات الاستخباراتية التي يتم جمعها من خلال JDY تدعم عمليات اكتشاف الأصول، وسير العمل الذي يستهدف نقاط الضعف، ومنصات الاستغلال أو تنسيق الهجمات اللاحقة.

تُجسّد شبكة الروبوتات كيف تتحول شبكات أجهزة إنترنت الأشياء الحديثة وشبكات المكاتب المنزلية الصغيرة بشكل متزايد إلى منصات استطلاع سريعة الاستجابة قادرة على تحديد البنية التحتية المعرضة للخطر بعد وقت قصير من الكشف عن الثغرات الأمنية. ويُظهر نموها المستمر أن تعطيل مجموعات أو عُقد فردية لا يُؤدي بالضرورة إلى القضاء على القدرة الأساسية.

يُبرز تحوّل JDY من عنصر داعم لشبكة KV-botnet إلى منصة استطلاع مستقلة عالية الأداء، استمرارية وتطور أنظمة التهديدات السيبرانية الحديثة. فحتى بعد جهود إيقافها، تستمر البنية التحتية في التطور، مما يزود الخصوم بمعلومات استخباراتية قابلة للتنفيذ، غالبًا في غضون ساعات من الكشف عن ثغرة أمنية جديدة.