JDY botnet
Küberjulgeoleku uurijad on tuvastanud JDY olulise taastekke ja laienemise. JDY on salajane võrgustik, mis on seotud Hiinaga kooskõlas olevate riiklikult toetatud ohuüksustega. Algselt 2023. aasta detsembris suurema KV-botnettide infrastruktuuri klastrina tuvastatud JDY on arenenud iseseisvaks ja väga tõhusaks luureplatvormiks.
Võrk koosneb enam kui 1500 ohustatud väikekontori/kodukontori (SOHO) ja asjade interneti (IoT) seadmest. JDY-d ei kasutata peamiselt otseste rünnakute jaoks, vaid see toimib tsentraalselt hallatava ja suure jõudlusega skaneerimissüsteemina, mis on võimeline avastama, sõrmejälgi jätma ja pidevalt kaardistama internetile avatud teenuseid suures mahus.
Hiina ohurühmitused, sealhulgas Volt Typhoon, on varem võrgustikku ära kasutanud luureandmete kogumise ja sihtmärkide tuvastamise toetamiseks.
Sisukord
Kohanemine pärast KV-Botneti mahavõtmist
Pärast seda, kui USA valitsus 2024. aasta alguses KV-botneti likvideeris, muutsid JDY operaatorid oma operatiivset käitumist. Kuigi teine KV klaster suures osas kadus, jätkas JDY arengut ja laienemist. Teadlased usuvad, et infrastruktuuri võidakse jagada mitme Hiina häkkerirühmitusega ning samal ajal kasutavad operaatorid seda otse luuretegevuseks.
Hiljutised uurimised näitavad, et pahavara sihib nüüd palju laiemat valikut seadmeid ja toimib andmekogumiskihina suuremas skaneerimisökosüsteemis. JDY kogutud struktureeritud luureteavet suunatakse süsteemidesse, mis hõlbustavad sihtmärkide valimist ja järgnevat ärakasutamist.
Eriti murettekitav on JDY roll haavatavate süsteemide kiirel tuvastamisel pärast avalikku haavatavuste avalikustamist. See käitumine viitab kõrgelt organiseeritud luureoperatsiooni olemasolule, mille tulemusi hiljem Hiina rahvusriikide tegelased kasutavad.
Kiire kasv ja globaalne laienemine
Botnet on märkimisväärselt kasvanud, suurenedes ligikaudu 650 nakatunud seadmelt 2024. aasta jaanuaris enam kui 1500 ohustatud süsteemini. Enamik nakatunud sõlmi asub Ameerika Ühendriikides ja Brasiilias, täiendavad koondumised on levinud Euroopas ja Aasias. Brasiilia seadmete kasvav arv peegeldab laiemat trendi, kus botnetid toetuvad üha enam Brasiilia ohustatud süsteemidele.
JDY seadmete ökosüsteem on samuti muutunud märkimisväärselt mitmekesisemaks. Kui varasemad versioonid tuginesid peamiselt Cisco RV320 ja RV325 ruuteritele, siis praegune võrk sisaldab riistvara mitmelt tarnijalt:
- Cisco
- Araknis
- Mimosa Networks
- Ubiquiti
See mitmekesisus tugevdab võrgu vastupidavust ja laiendab selle tegevusulatust.
Sulandumine seaduslikku internetiliiklusse
Märkimisväärne osa JDY infrastruktuurist koosneb USA-s asuvatest kodukontoritest ja asjade interneti seadmetest. See jaotus võimaldab operaatoritel mööda hiilida paljudest traditsioonilistest turvakontrollidest, sealhulgas geopiirde piirangutest, IP-maine filtreerimisest ja staatilistest blokeeritud nimekirjadest.
Levitades luuretegevust tuhandete ohustatud IP-aadresside vahel, vähendavad operaatorid tõenäosust, et mõni üksik süsteem tuvastatakse ja blokeeritakse skaneerimisallikana. Lisaks võimaldab seaduslike tarbijate ja väikeettevõtete seadmete kasutamine pahatahtlikul liiklusel loomulikumalt sulanduda tavapärase internetitegevusega, muutes tuvastamise oluliselt raskemaks.
Varjatud tööks loodud kihiline infrastruktuur
JDY toimib keeruka, kihilise arhitektuuri abil. Ohutegurid kasutavad Tori sõlmi nii juhtimis- ja juhtimisinfrastruktuuri (C2) kui ka kasuliku koormuse kohaletoimetamise serverite haldamiseks, aidates varjata operatiivtegevust.
Valimatute internetiüleste skaneeringute asemel määravad C2 serverid nakatunud seadmetele sihipäraseid luure- ja profileerimisülesandeid. Kogutud luureandmed edastatakse tagasi tsentraliseeritud serveritesse, kus neid koondatakse ja analüüsitakse, et toetada laiemaid Hiina küberoperatsioone ja strateegilisi eesmärke.
Äsja avalikustatud haavatavuste ärakasutamine
JDY-ga seotud rünnakuahelad kasutavad sageli relvana äsja avaldatud servaseadmete haavatavusi, sealhulgas selliseid haavatavusi nagu CVE-2026-35616. Edukas ärakasutamine käivitab shell-script dropperi saatmise, mis kontrollib kõigepealt, kas pahavara on sihtsüsteemis juba olemas.
Kui aktiivset nakkust ei tuvastata, hangib dropper ohvri protsessori arhitektuuri põhjal sobiva pahavara, sealhulgas MIPS-, MIPS64-, MIPSEL- ja MIPSEL64-süsteemide variandid. Pärast käivitamist eemaldab allalaaditud pahavara end kettalt, et vähendada kohtuekspertiisi nähtavust.
Täiustatud luure- ja adaptiivse skaneerimise võimalused
Pahavara peamine eesmärk on luureandmete kogumine, mitte otsene ärakasutamine. Kui pahavara on aktiivne, võtab see kahjustatud hostilt sõrmejäljed, saab skannimisülesandeid keskjuhtimise infrastruktuurilt, teostab ulatuslikku võrgu sondeerimist, kogub vastuseandmeid, näiteks TLS-sertifikaate ja teenuse metaandmeid, ning edastab leiud dispetšerserveritele.
Selle skaneerimismootor on väga adaptiivne ja kohandab oma käitumist vastavalt nakatunud seadmes saadaolevatele õigustele:
Kui juurjuurdepääs on saadaval, avab pahavara toored soklid ja teostab kiire SYN-skannimise, kasutades kohandatud TCP-pakette.
Kui kõrgendatud õigused pole saadaval või kui on vaja veebipõhist luuret, tugineb see standardsetele TCP- ja TLS-ühendustele ning saab kasutada ka UDP- ja ICMP-põhiseid tuvastamistehnikaid.
See paindlikkus võimaldab JDY-l maksimeerida luure efektiivsust paljudes ohustatud süsteemides.
Hiina ohuüksuste püsiv luurevõime
Teadlased usuvad, et JDY kaudu kogutud luureandmed toetavad varade avastamise operatsioone, haavatavuste sihtimise töövooge ja allavoolu ärakasutamise või rünnakute orkestreerimise platvorme.
See botnet illustreerib, kuidas tänapäevaseid asjade interneti ja kodukontorite seadmete võrke muudetakse üha enam kiirreageerimisega luureplatvormideks, mis on võimelised tuvastama haavatavat infrastruktuuri varsti pärast turvanõrkuste avalikuks tulekut. Selle pidev kasv näitab, et üksikute klastrite või sõlmede häirimine ei kõrvalda tingimata aluseks olevat võimekust.
JDY muutumine KV-botneti toetavast elemendist sõltumatuks ja suure jõudlusega luureplatvormiks rõhutab tänapäevaste küberohtude ökosüsteemide püsivust ja kohanemisvõimet. Isegi pärast eemaldamispüüdlusi areneb infrastruktuur edasi, pakkudes vastastele tegutsemiskõlblikku sihtimisteavet, sageli juba tundide jooksul pärast uue haavatavuse avalikustamist.
