بات‌نت JDY

محققان امنیت سایبری، ظهور و گسترش قابل توجه JDY، یک شبکه مخفی مرتبط با بازیگران تهدید تحت حمایت دولت چین، را شناسایی کرده‌اند. JDY که در ابتدا در دسامبر ۲۰۲۳ به عنوان خوشه‌ای در زیرساخت بزرگتر KV-botnet شناسایی شد، به یک پلتفرم شناسایی مستقل و بسیار مؤثر تبدیل شده است.

این شبکه شامل بیش از ۱۵۰۰ دستگاه آسیب‌دیده‌ی دفاتر کوچک/دفاتر خانگی (SOHO) و اینترنت اشیا (IoT) است. JDY به جای اینکه عمدتاً برای حملات مستقیم استفاده شود، به عنوان یک سیستم اسکن با عملکرد بالا و مدیریت مرکزی عمل می‌کند که قادر به کشف، انگشت‌نگاری و نقشه‌برداری مداوم از سرویس‌های در معرض اینترنت در مقیاس بزرگ است.

گروه‌های تهدید چینی، از جمله Volt Typhoon، پیش از این از این شبکه برای پشتیبانی از جمع‌آوری اطلاعات و شناسایی اهداف استفاده کرده‌اند.

سازگاری پس از حذف KV-Botnet

پس از آنکه دولت ایالات متحده در اوایل سال ۲۰۲۴، بات‌نت KV را از کار انداخت، اپراتورهای JDY رفتار عملیاتی خود را تغییر دادند. در حالی که یک خوشه ثانویه KV تا حد زیادی ناپدید شد، JDY به تکامل و گسترش خود ادامه داد. محققان معتقدند که این زیرساخت ممکن است با چندین گروه هکری چینی به اشتراک گذاشته شده باشد و در عین حال مستقیماً توسط اپراتورهای آن برای فعالیت‌های شناسایی مورد استفاده قرار گیرد.

تحقیقات اخیر نشان می‌دهد که این بدافزار اکنون طیف وسیع‌تری از دستگاه‌ها را هدف قرار می‌دهد و به عنوان یک لایه جمع‌آوری داده در یک اکوسیستم اسکن بزرگتر عمل می‌کند. اطلاعات شناسایی ساختاریافته جمع‌آوری‌شده توسط JDY به سیستم‌هایی وارد می‌شود که انتخاب هدف و فعالیت‌های بهره‌برداری بعدی را تسهیل می‌کنند.

به ویژه نقش JDY در شناسایی سریع سیستم‌های آسیب‌پذیر پس از افشای عمومی آسیب‌پذیری‌ها نگران‌کننده است. این رفتار نشان‌دهنده وجود یک عملیات شناسایی بسیار سازمان‌یافته است که یافته‌های آن بعداً توسط بازیگران دولتی چین مورد استفاده قرار می‌گیرد.

رشد سریع و گسترش جهانی

این بات‌نت رشد قابل توجهی را تجربه کرده است و از تقریباً ۶۵۰ دستگاه آلوده در ژانویه ۲۰۲۴ به بیش از ۱۵۰۰ سیستم آلوده افزایش یافته است. بیشتر گره‌های آلوده در ایالات متحده و برزیل قرار دارند و تمرکز بیشتری در سراسر اروپا و آسیا دارند. تعداد فزاینده دستگاه‌های برزیلی نشان دهنده روند گسترده‌تری است که در آن بات‌نت‌ها به طور فزاینده‌ای به سیستم‌های آلوده در برزیل متکی هستند.

اکوسیستم دستگاه‌های JDY نیز به طور قابل توجهی متنوع‌تر شده است. در حالی که نسخه‌های قبلی عمدتاً به روترهای Cisco RV320 و RV325 متکی بودند، شبکه فعلی شامل سخت‌افزارهایی از فروشندگان مختلف است:

• سیسکو
• آراکنس
• شبکه‌های میموسا
• یوبیکیوتی

این تنوع، انعطاف‌پذیری شبکه را تقویت کرده و دامنه عملیاتی آن را گسترش می‌دهد.

ادغام شدن در ترافیک اینترنتی قانونی

بخش قابل توجهی از زیرساخت JDY از دستگاه‌های SOHO و IoT مستقر در ایالات متحده تشکیل شده است. این توزیع به اپراتورها این امکان را می‌دهد که بسیاری از کنترل‌های امنیتی سنتی، از جمله محدودیت‌های جغرافیایی، فیلترینگ اعتبار IP و لیست‌های بلوکی استاتیک را دور بزنند.

با گسترش فعالیت‌های شناسایی در هزاران آدرس IP آلوده، اپراتورها احتمال شناسایی و مسدود شدن هر سیستم واحد به عنوان منبع اسکن را کاهش می‌دهند. علاوه بر این، استفاده از دستگاه‌های قانونی مصرف‌کنندگان و کسب‌وکارهای کوچک، به ترافیک مخرب اجازه می‌دهد تا به طور طبیعی‌تری با فعالیت عادی اینترنت ترکیب شود و تشخیص آن را به طور قابل توجهی دشوارتر می‌کند.

زیرساخت لایه‌ای طراحی‌شده برای مخفی‌کاری

JDY از طریق یک معماری لایه‌ای و پیچیده عمل می‌کند. عاملان تهدید از گره‌های Tor برای مدیریت زیرساخت‌های فرماندهی و کنترل (C2) و سرورهای تحویل بار استفاده می‌کنند و به پنهان کردن فعالیت‌های عملیاتی کمک می‌کنند.

سرورهای C2 به جای انجام اسکن‌های بی‌هدف در سراسر اینترنت، وظایف شناسایی و پروفایل‌سازی هدفمند را به دستگاه‌های آلوده اختصاص می‌دهند. اطلاعات جمع‌آوری‌شده به سرورهای متمرکز منتقل می‌شوند، جایی که برای پشتیبانی از عملیات سایبری گسترده‌تر چین و اهداف استراتژیک، تجمیع و تجزیه و تحلیل می‌شوند.

بهره‌برداری از آسیب‌پذیری‌های تازه افشا شده

زنجیره‌های حمله مرتبط با JDY اغلب از آسیب‌پذیری‌های تازه منتشر شده در دستگاه‌های لبه، از جمله آسیب‌پذیری‌هایی مانند CVE-2026-35616، به عنوان سلاح استفاده می‌کنند. بهره‌برداری موفقیت‌آمیز باعث ارسال یک دراپر shell-script می‌شود که ابتدا بررسی می‌کند که آیا بدافزار از قبل در سیستم هدف وجود دارد یا خیر.

اگر هیچ آلودگی فعالی شناسایی نشود، dropper بر اساس معماری پردازنده قربانی، شامل انواع سیستم‌های MIPS، MIPS64، MIPSEL و MIPSEL64، بدافزار مناسب را بازیابی می‌کند. پس از اجرا، بدافزار دانلود شده خود را از دیسک حذف می‌کند تا قابلیت مشاهده پزشکی قانونی را کاهش دهد.

قابلیت‌های پیشرفته شناسایی و اسکن تطبیقی

هدف اصلی این بدافزار جمع‌آوری اطلاعات است نه سوءاستفاده مستقیم. پس از فعال شدن، میزبان آسیب‌دیده را انگشت‌نگاری می‌کند، وظایف اسکن را از زیرساخت فرماندهی مرکزی دریافت می‌کند، کاوش شبکه در مقیاس بزرگ را انجام می‌دهد، داده‌های پاسخ مانند گواهی‌های TLS و فراداده‌های سرویس را جمع‌آوری می‌کند و یافته‌ها را به سرورهای اعزام گزارش می‌دهد.

موتور اسکن آن بسیار تطبیق‌پذیر است و رفتار خود را با توجه به امتیازات موجود در دستگاه آلوده تنظیم می‌کند:

وقتی دسترسی سطح ریشه در دسترس باشد، بدافزار سوکت‌های خام را باز می‌کند و با استفاده از بسته‌های TCP سفارشی، اسکن SYN با سرعت بالا را انجام می‌دهد.
وقتی امتیازات بالا در دسترس نباشد، یا وقتی شناسایی مبتنی بر وب مورد نیاز باشد، به اتصالات استاندارد TCP و TLS متکی است و همچنین می‌تواند از تکنیک‌های کاوش مبتنی بر UDP و ICMP استفاده کند.

این انعطاف‌پذیری به JDY اجازه می‌دهد تا اثربخشی شناسایی را در طیف وسیعی از سیستم‌های آسیب‌پذیر به حداکثر برساند.

قابلیت شناسایی مداوم برای بازیگران تهدید چینی

محققان معتقدند اطلاعات جمع‌آوری‌شده از طریق JDY از عملیات کشف دارایی، گردش‌های کاری هدف‌گیری آسیب‌پذیری و پلتفرم‌های تنظیم حمله یا بهره‌برداری در پایین‌دست پشتیبانی می‌کند.

این بات‌نت نشان می‌دهد که چگونه شبکه‌های مدرن دستگاه‌های اینترنت اشیا و دستگاه‌های خانگی (SOHO) به طور فزاینده‌ای در حال تبدیل شدن به پلتفرم‌های شناسایی با واکنش سریع هستند که قادر به شناسایی زیرساخت‌های آسیب‌پذیر اندکی پس از علنی شدن نقص‌های امنیتی هستند. رشد مداوم آن نشان می‌دهد که مختل کردن خوشه‌ها یا گره‌های منفرد لزوماً قابلیت اساسی را از بین نمی‌برد.

تبدیل JDY از یک عنصر پشتیبان KV-botnet به یک پلتفرم شناسایی مستقل و با کارایی بالا، پایداری و سازگاری اکوسیستم‌های تهدید سایبری مدرن را برجسته می‌کند. حتی پس از تلاش‌های برای از بین بردن، این زیرساخت همچنان در حال تکامل است و اغلب ظرف چند ساعت پس از افشای یک آسیب‌پذیری جدید، اطلاعات هدف‌گیری قابل اجرا را در اختیار دشمنان قرار می‌دهد.