JDY Botnet
Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει μια σημαντική αναζωπύρωση και επέκταση του JDY, ενός μυστικού δικτύου που συνδέεται με κρατικά χρηματοδοτούμενους απειλητικούς φορείς που συμμαχούν με την Κίνα. Αρχικά εντοπίστηκε τον Δεκέμβριο του 2023 ως σύμπλεγμα εντός της ευρύτερης υποδομής KV-botnet, το JDY έχει εξελιχθεί σε μια ανεξάρτητη, εξαιρετικά αποτελεσματική πλατφόρμα αναγνώρισης.
Το δίκτυο αποτελείται από περισσότερες από 1.500 συσκευές Μικρών Γραφείων/Οικιακών Γραφείων (SOHO) και Διαδικτύου των Πραγμάτων (IoT) που έχουν παραβιαστεί. Αντί να χρησιμοποιείται κυρίως για άμεσες επιθέσεις, το JDY λειτουργεί ως ένα κεντρικά διαχειριζόμενο σύστημα σάρωσης υψηλής απόδοσης, ικανό να ανακαλύπτει, να συλλέγει δακτυλικά αποτυπώματα και να χαρτογραφεί συνεχώς υπηρεσίες που εκτίθενται στο διαδίκτυο σε μεγάλη κλίμακα.
Κινεζικές ομάδες απειλών, συμπεριλαμβανομένου του Volt Typhoon, έχουν αξιοποιήσει στο παρελθόν το δίκτυο για να υποστηρίξουν τη συλλογή πληροφοριών και τις προσπάθειες αναγνώρισης στόχων.
Πίνακας περιεχομένων
Προσαρμογή μετά την κατάρρευση του KV-Botnet
Αφού η κυβέρνηση των ΗΠΑ διέλυσε το KV-botnet στις αρχές του 2024, οι χειριστές του JDY τροποποίησαν την επιχειρησιακή τους συμπεριφορά. Ενώ ένα δευτερεύον σύμπλεγμα KV εξαφανίστηκε σε μεγάλο βαθμό, το JDY συνέχισε να εξελίσσεται και να επεκτείνεται. Οι ερευνητές πιστεύουν ότι η υποδομή μπορεί να χρησιμοποιείται από κοινού με πολλαπλές κινεζικές ομάδες χάκερ, ενώ παράλληλα χρησιμοποιείται απευθείας από τους χειριστές του για δραστηριότητες αναγνώρισης.
Πρόσφατες έρευνες αποκαλύπτουν ότι το κακόβουλο λογισμικό στοχεύει πλέον σε ένα πολύ ευρύτερο φάσμα συσκευών και χρησιμεύει ως επίπεδο συλλογής δεδομένων μέσα σε ένα ευρύτερο οικοσύστημα σάρωσης. Οι δομημένες πληροφορίες αναγνώρισης που συλλέγονται από το JDY τροφοδοτούν συστήματα που διευκολύνουν την επιλογή στόχων και τις επακόλουθες δραστηριότητες εκμετάλλευσης.
Ιδιαίτερα ανησυχητικός είναι ο ρόλος της JDY στον ταχύ εντοπισμό ευάλωτων συστημάτων μετά από δημόσιες αποκαλύψεις ευπάθειας. Αυτή η συμπεριφορά υποδηλώνει την ύπαρξη μιας άκρως οργανωμένης επιχείρησης αναγνώρισης, τα ευρήματα της οποίας χρησιμοποιούνται αργότερα από κινέζικους φορείς-έθνη-κράτη.
Ταχεία Ανάπτυξη και Παγκόσμια Επέκταση
Το botnet έχει σημειώσει σημαντική ανάπτυξη, από περίπου 650 μολυσμένες συσκευές τον Ιανουάριο του 2024 σε περισσότερα από 1.500 παραβιασμένα συστήματα. Οι περισσότεροι μολυσμένοι κόμβοι βρίσκονται στις Ηνωμένες Πολιτείες και τη Βραζιλία, με πρόσθετες συγκεντρώσεις σε όλη την Ευρώπη και την Ασία. Ο αυξανόμενος αριθμός βραζιλιάνικων συσκευών αντικατοπτρίζει μια ευρύτερη τάση κατά την οποία τα botnets βασίζονται ολοένα και περισσότερο σε παραβιασμένα συστήματα στη Βραζιλία.
Το οικοσύστημα συσκευών της JDY έχει επίσης γίνει σημαντικά πιο ποικιλόμορφο. Ενώ οι προηγούμενες εκδόσεις βασίζονταν κυρίως σε δρομολογητές Cisco RV320 και RV325, το τρέχον δίκτυο περιλαμβάνει υλικό από πολλούς προμηθευτές:
- Σίσκο
- Αράκνις
- Δίκτυα Μιμόζα
- Ουμπικίτι
Αυτή η ποικιλομορφία ενισχύει την ανθεκτικότητα του δικτύου και διευρύνει την επιχειρησιακή του εμβέλεια.
Ενσωμάτωση σε νόμιμη διαδικτυακή κίνηση
Ένα σημαντικό μέρος της υποδομής της JDY αποτελείται από συσκευές SOHO και IoT με έδρα τις ΗΠΑ. Αυτή η διανομή επιτρέπει στους παρόχους να παρακάμπτουν πολλούς παραδοσιακούς ελέγχους ασφαλείας, συμπεριλαμβανομένων των περιορισμών geofencing, του φιλτραρίσματος φήμης IP και των στατικών λιστών αποκλεισμού.
Διασπείροντας την αναγνωριστική δραστηριότητα σε χιλιάδες παραβιασμένες διευθύνσεις IP, οι πάροχοι μειώνουν την πιθανότητα να αναγνωριστεί και να αποκλειστεί οποιοδήποτε μεμονωμένο σύστημα ως πηγή σάρωσης. Επιπλέον, η χρήση νόμιμων συσκευών καταναλωτών και μικρών επιχειρήσεων επιτρέπει στην κακόβουλη κίνηση να αναμειγνύεται πιο φυσικά με την συνηθισμένη δραστηριότητα στο διαδίκτυο, καθιστώντας την ανίχνευση σημαντικά πιο δύσκολη.
Πολυεπίπεδη Υποδομή Σχεδιασμένη για Αθόρυβη Λειτουργία
Το JDY λειτουργεί μέσω μιας εξελιγμένης, πολυεπίπεδης αρχιτεκτονικής. Οι απειλητικοί παράγοντες χρησιμοποιούν κόμβους Tor για τη διαχείριση τόσο της υποδομής Command-and-Control (C2) όσο και των διακομιστών παράδοσης ωφέλιμου φορτίου, βοηθώντας στην απόκρυψη της επιχειρησιακής δραστηριότητας.
Αντί να διεξάγουν αδιάκριτες σαρώσεις σε ολόκληρο το διαδίκτυο, οι διακομιστές C2 αναθέτουν στοχευμένες εργασίες αναγνώρισης και δημιουργίας προφίλ σε μολυσμένες συσκευές. Οι συλλεγόμενες πληροφορίες μεταδίδονται πίσω σε κεντρικούς διακομιστές, όπου συγκεντρώνονται και αναλύονται για την υποστήριξη ευρύτερων κινεζικών κυβερνοεπιχειρήσεων και στρατηγικών στόχων.
Εκμετάλλευση πρόσφατα αποκαλυφθέντων ευπαθειών
Οι αλυσίδες επιθέσεων που σχετίζονται με το JDY συχνά οπλίζουν πρόσφατα δημοσιευμένες ευπάθειες σε συσκευές edge, συμπεριλαμβανομένων ευπαθειών όπως το CVE-2026-35616. Η επιτυχής εκμετάλλευση ενεργοποιεί την παράδοση ενός dropper shell-script που ελέγχει πρώτα εάν το κακόβουλο λογισμικό υπάρχει ήδη στο σύστημα-στόχο.
Εάν δεν εντοπιστεί ενεργή μόλυνση, το πρόγραμμα απόρριψης (dropper) ανακτά το κατάλληλο ωφέλιμο φορτίο κακόβουλου λογισμικού με βάση την αρχιτεκτονική επεξεργαστή του θύματος, συμπεριλαμβανομένων παραλλαγών για συστήματα MIPS, MIPS64, MIPSEL και MIPSEL64. Μόλις εκτελεστεί, το ληφθέν κακόβουλο λογισμικό αφαιρείται από τον δίσκο για να μειώσει την ορατότητα της εγκληματολογικής έρευνας.
Προηγμένες δυνατότητες αναγνώρισης και προσαρμοστικής σάρωσης
Ο κύριος σκοπός του κακόβουλου λογισμικού είναι η συλλογή πληροφοριών και όχι η άμεση εκμετάλλευση. Μόλις ενεργοποιηθεί, αποτυπώνει τον παραβιασμένο κεντρικό υπολογιστή, λαμβάνει αναθέσεις σάρωσης από την κεντρική υποδομή διοίκησης, εκτελεί μεγάλης κλίμακας ανίχνευση δικτύου, συλλέγει δεδομένα απόκρισης, όπως πιστοποιητικά TLS και μεταδεδομένα υπηρεσίας, και αναφέρει τα ευρήματα στους διακομιστές αποστολής.
Η μηχανή σάρωσης είναι εξαιρετικά προσαρμοστική και προσαρμόζει τη συμπεριφορά της σύμφωνα με τα προνόμια που είναι διαθέσιμα στη μολυσμένη συσκευή:
Όταν είναι διαθέσιμη η πρόσβαση σε επίπεδο root, το κακόβουλο λογισμικό ανοίγει raw sockets και εκτελεί σάρωση SYN υψηλής ταχύτητας χρησιμοποιώντας προσαρμοσμένα πακέτα TCP.
Όταν δεν είναι διαθέσιμα αυξημένα δικαιώματα ή όταν απαιτείται αναγνώριση μέσω διαδικτύου, βασίζεται σε τυπικές συνδέσεις TCP και TLS και μπορεί επίσης να χρησιμοποιήσει τεχνικές ανίχνευσης που βασίζονται σε UDP και ICMP.
Αυτή η ευελιξία επιτρέπει στην JDY να μεγιστοποιήσει την αποτελεσματικότητα της αναγνώρισης σε ένα ευρύ φάσμα παραβιασμένων συστημάτων.
Μια διαρκής ικανότητα αναγνώρισης για τους κινέζους απειλητικούς παράγοντες
Οι ερευνητές πιστεύουν ότι οι πληροφορίες που συλλέγονται μέσω του JDY υποστηρίζουν επιχειρήσεις ανακάλυψης περιουσιακών στοιχείων, ροές εργασίας στόχευσης ευπαθειών και πλατφόρμες εκμετάλλευσης ή ενορχήστρωσης επιθέσεων κατάντη.
Το botnet καταδεικνύει πώς τα σύγχρονα δίκτυα συσκευών IoT και SOHO μετατρέπονται ολοένα και περισσότερο σε πλατφόρμες αναγνώρισης ταχείας απόκρισης, ικανές να εντοπίζουν ευάλωτες υποδομές αμέσως μετά τη δημοσιοποίηση των κενών ασφαλείας. Η συνεχής ανάπτυξή του καταδεικνύει ότι η διαταραχή μεμονωμένων συμπλεγμάτων ή κόμβων δεν εξαλείφει απαραίτητα την υποκείμενη δυνατότητα.
Ο μετασχηματισμός του JDY από υποστηρικτικό στοιχείο του KV-botnet σε μια ανεξάρτητη πλατφόρμα αναγνώρισης υψηλής απόδοσης υπογραμμίζει την επιμονή και την προσαρμοστικότητα των σύγχρονων οικοσυστημάτων κυβερνοαπειλών. Ακόμα και μετά τις προσπάθειες εξάλειψης, η υποδομή συνεχίζει να εξελίσσεται, παρέχοντας στους αντιπάλους αξιοποιήσιμες πληροφορίες στόχευσης, συχνά εντός ωρών από την αποκάλυψη μιας νέας ευπάθειας.
