Monen lisenssin alennustarjous
Uhatietokanta Bottiverkot JDY-bottiverkko

JDY-bottiverkko

Vuonna Mezo vuonna Bottiverkot, Advanced Persistent Threat (APT)
Käännä:

Kyberturvallisuustutkijat ovat havainneet JDY:n merkittävän uudelleen nousun ja laajentumisen. JDY on salainen verkosto, joka on yhteydessä Kiinan kanssa liittoutuneisiin ja valtion tukemiin uhkatoimijoihin. Alun perin joulukuussa 2023 KV-botnet-infrastruktuurin osana olleeksi klusteriksi tunnistettu JDY on kehittynyt itsenäiseksi ja erittäin tehokkaaksi tiedustelualustaksi.

Verkko koostuu yli 1 500:sta vaarantuneesta pientoimisto-/kotitoimistolaitteesta (SOHO) ja esineiden internetin (IoT) laitteesta. Sen sijaan, että JDY:tä käytettäisiin ensisijaisesti suoriin hyökkäyksiin, se toimii keskitetysti hallittuna, tehokkaana skannausjärjestelmänä, joka pystyy löytämään, ottamaan sormenjälkiä ja jatkuvasti kartoittamaan internetin alttiita palveluita laajassa mittakaavassa.

Kiinalaiset uhkaryhmät, kuten Volt Typhoon, ovat aiemmin hyödyntäneet verkostoa tiedustelutietojen keräämiseen ja kohteiden tunnistamiseen.

Sopeutuminen KV-botnetin alasajon jälkeen

Yhdysvaltain hallituksen purettua KV-botnetin vuoden 2024 alussa, JDY:n operaattorit muuttivat toimintatapojaan. Vaikka toissijainen KV-rypäs suurelta osin katosi, JDY jatkoi kehittymistään ja laajentumistaan. Tutkijat uskovat, että infrastruktuuria saatetaan jakaa useiden kiinalaisten hakkeriryhmien kanssa, ja operaattorit saattavat käyttää sitä myös suoraan tiedustelutoimintaan.

Viimeaikaiset tutkimukset paljastavat, että haittaohjelma kohdistuu nyt paljon laajempaan laitevalikoimaan ja toimii tiedonkeruukerroksena laajemmassa skannausekosysteemissä. JDY:n keräämät strukturoidut tiedustelutiedot syötetään järjestelmiin, jotka helpottavat kohteiden valintaa ja sitä seuraavia hyväksikäyttötoimia.

Erityisen huolestuttavaa on JDY:n rooli haavoittuvien järjestelmien nopeassa tunnistamisessa julkisten haavoittuvuusilmoitusten jälkeen. Tämä toiminta viittaa erittäin organisoidun tiedusteluoperaation olemassaoloon, jonka tuloksia kiinalaiset kansallisvaltioiden toimijat myöhemmin hyödyntävät.

Nopea kasvu ja globaali laajentuminen

Bottiverkko on kasvanut huomattavasti, ja tartunnan saaneiden laitteiden määrä on noussut tammikuussa 2024 noin 650:stä yli 1 500:aan vaarantuneeseen järjestelmään. Suurin osa tartunnan saaneista solmuista sijaitsee Yhdysvalloissa ja Brasiliassa, ja lisää tartunnan keskittymiä on Euroopassa ja Aasiassa. Brasilialaisten laitteiden kasvava määrä heijastaa laajempaa trendiä, jossa bottiverkot ovat yhä enemmän riippuvaisia Brasilian vaarantuneista järjestelmistä.

Myös JDY:n laiteekosysteemistä on tullut huomattavasti monimuotoisempi. Aikaisemmat versiot perustuivat pääasiassa Cisco RV320- ja RV325-reitittimiin, mutta nykyinen verkko sisältää laitteistoa useilta eri toimittajilta:

  • Cisco
  • Araknis
  • Mimosa-verkot
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Tämä monimuotoisuus vahvistaa verkon kestävyyttä ja laajentaa sen operatiivista ulottuvuutta.

Sulautuminen lailliseen internetliikenteeseen

Merkittävä osa JDY:n infrastruktuurista koostuu Yhdysvalloissa sijaitsevista kotitoimisto- ja IoT-laitteista. Tämä jakelu mahdollistaa operaattoreille monien perinteisten tietoturvakontrollien ohittamisen, mukaan lukien geoaitausrajoitukset, IP-maineen suodatuksen ja staattiset estolistat.

Hajauttamalla tiedustelutoimintaa tuhansien vaarantuneiden IP-osoitteiden alueelle operaattorit vähentävät todennäköisyyttä, että jokin yksittäinen järjestelmä tunnistetaan ja estetään skannauslähteenä. Lisäksi laillisten kuluttaja- ja pienyrityslaitteiden käyttö mahdollistaa haitallisen liikenteen sulautumisen luonnollisemmin tavalliseen internet-toimintaan, mikä vaikeuttaa havaitsemista huomattavasti.

Hiiviskelyyn suunniteltu kerrostettu infrastruktuuri

JDY toimii hienostuneen, kerroksellisen arkkitehtuurin avulla. Uhkatoimijat käyttävät Tor-solmuja sekä komento- ja hallintainfrastruktuurin (C2) että hyötykuorman toimituspalvelimien hallintaan, mikä auttaa peittämään operatiivista toimintaa.

Sen sijaan, että C2-palvelimet suorittaisivat umpimähkään koko internetin kattavia skannauksia, ne osoittavat kohdennettuja tiedustelu- ja profilointitehtäviä tartunnan saaneille laitteille. Kerätty tiedustelutieto lähetetään takaisin keskitetyille palvelimille, joissa se kootaan ja analysoidaan laajempien kiinalaisten kyberoperaatioiden ja strategisten tavoitteiden tukemiseksi.

Äskettäin paljastuneiden haavoittuvuuksien hyödyntäminen

JDY:hin liittyvät hyökkäysketjut käyttävät usein aseina uusia julkaistuja haavoittuvuuksia reunakoneissa, mukaan lukien haavoittuvuudet, kuten CVE-2026-35616. Onnistunut hyödyntäminen laukaisee komentoskriptien pudottajan, joka ensin tarkistaa, onko haittaohjelma jo kohdejärjestelmässä.

Jos aktiivista tartuntaa ei havaita, dropperi hakee asianmukaisen haittaohjelmasisällön uhrin prosessoriarkkitehtuurin perusteella, mukaan lukien MIPS-, MIPS64-, MIPSEL- ja MIPSEL64-järjestelmien variantit. Suorittamisen jälkeen ladattu haittaohjelma poistaa itsensä levyltä rikostutkinnan näkyvyyden vähentämiseksi.

Edistyneet tiedustelu- ja mukautuvat skannausominaisuudet

Haittaohjelman ensisijainen tarkoitus on tiedonkeruu eikä suora hyväksikäyttö. Aktiivisena se tallentaa vaarantuneen isännän sormenjäljet, vastaanottaa skannaustehtäviä keskuskomentoinfrastruktuurilta, suorittaa laajamittaista verkon luotausta, kerää vastaustietoja, kuten TLS-varmenteita ja palvelun metatietoja, ja raportoi havainnot takaisin lähetyspalvelimille.

Sen skannausmoottori on erittäin mukautuva ja mukauttaa toimintaansa tartunnan saaneella laitteella käytettävissä olevien oikeuksien mukaan:

Kun pääkäyttäjän oikeudet ovat saatavilla, haittaohjelma avaa raa'at soketit ja suorittaa nopeaa SYN-skannausta käyttämällä mukautettuja TCP-paketteja.
Kun laajennetut käyttöoikeudet eivät ole käytettävissä tai kun tarvitaan verkkopohjaista tiedustelua, se käyttää TCP- ja TLS-vakioyhteyksiä ja voi käyttää myös UDP- ja ICMP-pohjaisia luotaustekniikoita.

Tämä joustavuus antaa JDY:lle mahdollisuuden maksimoida tiedustelun tehokkuuden monissa erilaisissa vaarantuneissa järjestelmissä.

Jatkuva tiedustelukyky kiinalaisille uhkatoimijoille

Tutkijoiden mielestä JDY:n kautta kerätty tiedustelutieto tukee omaisuuden etsintäoperaatioita, haavoittuvuuksien kohdistamisen työnkulkuja ja alavirran hyödyntämis- tai hyökkäysten orkestrointialustoja.

Bottiverkko havainnollistaa, kuinka nykyaikaiset IoT- ja SOHO-laiteverkot muuttuvat yhä enemmän nopean toiminnan tiedustelualustoiksi, jotka pystyvät tunnistamaan haavoittuvan infrastruktuurin pian sen jälkeen, kun tietoturva-aukot tulevat julki. Sen jatkuva kasvu osoittaa, että yksittäisten klusterien tai solmujen häiritseminen ei välttämättä poista taustalla olevaa kykyä.

JDY:n muuttuminen KV-botnetin tukipilarista itsenäiseksi ja tehokkaaksi tiedustelualustaksi korostaa nykyaikaisten kyberuhkaekosysteemien pysyvyyttä ja sopeutumiskykyä. Jopa haavoittuvuuksien torjuntatoimien jälkeen infrastruktuuri kehittyy jatkuvasti ja tarjoaa vastustajille toimivia kohdistustiedustelutietoja, usein jo muutaman tunnin sisällä uuden haavoittuvuuden paljastumisesta.

Trendaavat

Tietoturvapäivitys luotettavien laitteiden ja...

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka vaativat kiireellisiä toimia, tulee aina suhtautua varoen, erityisesti silloin, kun ne sisältävät tilin tietoturvavaroituksia tai pyyntöjä henkilötietojen vahvistamiseksi. Kyberrikolliset naamioivat usein tietojenkalasteluviestejä virallisiksi ilmoituksiksi manipuloidakseen vastaanottajia paljastamaan arkaluonteisia tietoja. "Turvallisuuspäivitys...

Eniten katsottu

Ladataan...