JDY बॉटनेट

साइबर सुरक्षा शोधकर्ताओं ने जेडीवाई के महत्वपूर्ण पुनरुत्थान और विस्तार की पहचान की है, जो चीन समर्थित राज्य-प्रायोजित खतरा पैदा करने वाले तत्वों से जुड़ा एक गुप्त नेटवर्क है। मूल रूप से दिसंबर 2023 में बड़े केवी-बॉटनेट ढांचे के भीतर एक समूह के रूप में पहचाना गया, जेडीवाई एक स्वतंत्र, अत्यंत प्रभावी जासूसी मंच के रूप में विकसित हो गया है।

इस नेटवर्क में 1,500 से अधिक प्रभावित स्मॉल ऑफिस/होम ऑफिस (SOHO) और इंटरनेट ऑफ थिंग्स (IoT) डिवाइस शामिल हैं। JDY का उपयोग मुख्य रूप से प्रत्यक्ष हमलों के लिए नहीं किया जाता है, बल्कि यह एक केंद्रीय रूप से प्रबंधित, उच्च-प्रदर्शन स्कैनिंग सिस्टम के रूप में कार्य करता है जो बड़े पैमाने पर इंटरनेट से जुड़े सेवाओं का पता लगाने, उनकी पहचान करने और लगातार उनका मानचित्रण करने में सक्षम है।

वोल्ट टाइफून सहित चीनी खतरा समूहों ने पहले भी खुफिया जानकारी जुटाने और लक्ष्य की पहचान करने के प्रयासों में सहायता के लिए इस नेटवर्क का लाभ उठाया है।

केवी-बॉटनेट को नष्ट करने के बाद अनुकूलन

2024 की शुरुआत में अमेरिकी सरकार द्वारा KV-बॉटनेट को नष्ट किए जाने के बाद, JDY ऑपरेटरों ने अपने परिचालन व्यवहार में बदलाव किया। हालांकि एक द्वितीयक KV क्लस्टर काफी हद तक गायब हो गया, JDY का विकास और विस्तार जारी रहा। शोधकर्ताओं का मानना है कि इसका ढांचा कई चीनी हैकिंग समूहों के साथ साझा किया जा सकता है और साथ ही इसके ऑपरेटरों द्वारा जासूसी गतिविधियों के लिए सीधे तौर पर इसका उपयोग किया जा सकता है।

हालिया जांच से पता चलता है कि मैलवेयर अब उपकरणों की एक बहुत व्यापक श्रेणी को निशाना बना रहा है और एक बड़े स्कैनिंग सिस्टम के भीतर डेटा संग्रह परत के रूप में कार्य करता है। JDY द्वारा एकत्रित संरचित जासूसी जानकारी उन प्रणालियों में डाली जाती है जो लक्ष्य चयन और बाद में शोषण गतिविधियों को सुविधाजनक बनाती हैं।

सार्वजनिक रूप से सुरक्षा खामियों के खुलासे के बाद असुरक्षित प्रणालियों की तेजी से पहचान करने में जेडीवाई की भूमिका विशेष रूप से चिंताजनक है। यह व्यवहार एक उच्च स्तरीय संगठित जासूसी अभियान के अस्तित्व का संकेत देता है, जिसके निष्कर्षों का उपयोग बाद में चीनी राष्ट्र-राज्य अभिकर्ताओं द्वारा किया जाता है।

तीव्र विकास और वैश्विक विस्तार

बॉटनेट में काफी वृद्धि हुई है, जनवरी 2024 में लगभग 650 संक्रमित उपकरणों से बढ़कर अब 1,500 से अधिक प्रभावित सिस्टम हो गए हैं। अधिकांश संक्रमित नोड संयुक्त राज्य अमेरिका और ब्राजील में स्थित हैं, जबकि यूरोप और एशिया में भी इनकी संख्या अधिक है। ब्राजील में उपकरणों की बढ़ती संख्या एक व्यापक प्रवृत्ति को दर्शाती है जिसमें बॉटनेट तेजी से ब्राजील में प्रभावित सिस्टमों पर निर्भर होते जा रहे हैं।

जेडीवाई का डिवाइस इकोसिस्टम भी काफी अधिक विविध हो गया है। जबकि पहले के संस्करण मुख्य रूप से सिस्को आरवी320 और आरवी325 राउटर पर निर्भर थे, वर्तमान नेटवर्क में कई विक्रेताओं के हार्डवेयर शामिल हैं:

• सिस्को
• अराक्निस
• मिमोसा नेटवर्क्स
• यूबिक्विटी

• ड्रेटेक

• HIKVISION

• Linksys

यह विविधता नेटवर्क की लचीलता को मजबूत करती है और इसकी परिचालन पहुंच को व्यापक बनाती है।

वैध इंटरनेट ट्रैफ़िक में घुलमिल जाना

जेडीवाई के बुनियादी ढांचे का एक महत्वपूर्ण हिस्सा अमेरिका स्थित एसओएचओ और आईओटी उपकरणों से बना है। यह वितरण ऑपरेटरों को कई पारंपरिक सुरक्षा नियंत्रणों को दरकिनार करने में सक्षम बनाता है, जिनमें जियोफेंसिंग प्रतिबंध, आईपी प्रतिष्ठा फ़िल्टरिंग और स्थिर ब्लॉकलिस्ट शामिल हैं।

हजारों असुरक्षित आईपी पतों पर जासूसी गतिविधि फैलाकर, ऑपरेटर इस संभावना को कम कर देते हैं कि किसी एक सिस्टम को स्कैनिंग स्रोत के रूप में पहचाना और ब्लॉक किया जा सके। इसके अलावा, वैध उपभोक्ता और छोटे व्यवसायों के उपकरणों का उपयोग दुर्भावनापूर्ण ट्रैफ़िक को सामान्य इंटरनेट गतिविधि के साथ अधिक सहजता से घुलमिल जाने देता है, जिससे इसका पता लगाना काफी मुश्किल हो जाता है।

गुप्त संचालन के लिए डिज़ाइन किया गया स्तरित अवसंरचना

JDY एक परिष्कृत, स्तरित आर्किटेक्चर के माध्यम से संचालित होता है। हमलावर Tor नोड्स का उपयोग कमांड-एंड-कंट्रोल (C2) इन्फ्रास्ट्रक्चर और पेलोड डिलीवरी सर्वर दोनों को प्रबंधित करने के लिए करते हैं, जिससे परिचालन गतिविधि को छिपाने में मदद मिलती है।

अंधाधुंध इंटरनेट स्कैन करने के बजाय, C2 सर्वर संक्रमित उपकरणों को लक्षित जासूसी और प्रोफाइलिंग कार्य सौंपते हैं। एकत्रित जानकारी केंद्रीकृत सर्वरों को भेजी जाती है, जहां इसे व्यापक चीनी साइबर अभियानों और रणनीतिक उद्देश्यों के समर्थन में एकत्रित और विश्लेषण किया जाता है।

हाल ही में सामने आई कमजोरियों का फायदा उठाना

JDY से जुड़े हमले अक्सर एज डिवाइसों में हाल ही में प्रकाशित कमजोरियों का हथियार के रूप में उपयोग करते हैं, जिनमें CVE-2026-35616 जैसी कमजोरियां शामिल हैं। सफल शोषण से एक शेल-स्क्रिप्ट ड्रॉपर की डिलीवरी शुरू हो जाती है जो पहले यह जांचता है कि क्या मैलवेयर पहले से ही लक्ष्य सिस्टम पर मौजूद है।

यदि कोई सक्रिय संक्रमण नहीं पाया जाता है, तो ड्रॉपर पीड़ित के प्रोसेसर आर्किटेक्चर के आधार पर उपयुक्त मैलवेयर पेलोड प्राप्त करता है, जिसमें MIPS, MIPS64, MIPSEL और MIPSEL64 सिस्टम के लिए वेरिएंट शामिल हैं। एक बार निष्पादित होने के बाद, डाउनलोड किया गया मैलवेयर फोरेंसिक जांच को कम करने के लिए डिस्क से खुद को हटा लेता है।

उन्नत टोही और अनुकूली स्कैनिंग क्षमताएं

इस मैलवेयर का प्राथमिक उद्देश्य प्रत्यक्ष शोषण के बजाय जानकारी जुटाना है। सक्रिय होने पर, यह प्रभावित होस्ट का फिंगरप्रिंट लेता है, केंद्रीय कमांड इन्फ्रास्ट्रक्चर से स्कैनिंग असाइनमेंट प्राप्त करता है, बड़े पैमाने पर नेटवर्क की जांच करता है, टीएलएस प्रमाणपत्र और सेवा मेटाडेटा जैसे प्रतिक्रिया डेटा एकत्र करता है, और निष्कर्षों की रिपोर्ट डिस्पैच सर्वर को वापस भेजता है।

इसका स्कैनिंग इंजन अत्यधिक अनुकूलनीय है और संक्रमित डिवाइस पर उपलब्ध विशेषाधिकारों के अनुसार अपने व्यवहार को समायोजित करता है:

जब रूट-लेवल एक्सेस उपलब्ध होता है, तो मैलवेयर रॉ सॉकेट खोलता है और कस्टम-निर्मित टीसीपी पैकेट का उपयोग करके हाई-स्पीड एसवाईएन स्कैनिंग करता है।
जब उच्च विशेषाधिकार उपलब्ध नहीं होते हैं, या जब वेब-आधारित जासूसी की आवश्यकता होती है, तो यह मानक TCP और TLS कनेक्शन पर निर्भर करता है और UDP और ICMP-आधारित जांच तकनीकों का भी उपयोग कर सकता है।

यह लचीलापन जेडीवाई को विभिन्न प्रकार के असुरक्षित सिस्टमों में जासूसी की प्रभावशीलता को अधिकतम करने की अनुमति देता है।

चीनी खतरा पैदा करने वाले तत्वों के लिए एक सतत टोही क्षमता

शोधकर्ताओं का मानना है कि जेडीवाई के माध्यम से एकत्रित की गई खुफिया जानकारी परिसंपत्ति खोज अभियानों, भेद्यता-लक्ष्यीकरण कार्यप्रवाहों और डाउनस्ट्रीम शोषण या हमले की योजना बनाने वाले प्लेटफार्मों का समर्थन करती है।

यह बॉटनेट दर्शाता है कि कैसे आधुनिक IoT और SOHO डिवाइस नेटवर्क तेजी से प्रतिक्रिया देने वाले जासूसी प्लेटफॉर्म में परिवर्तित हो रहे हैं, जो सुरक्षा खामियों के सार्वजनिक होने के तुरंत बाद ही कमजोर बुनियादी ढांचे की पहचान करने में सक्षम हैं। इसकी निरंतर वृद्धि यह साबित करती है कि व्यक्तिगत क्लस्टर या नोड्स को बाधित करने से अंतर्निहित क्षमता पूरी तरह समाप्त नहीं हो जाती।

जेडीवाई का केवी-बॉटनेट के सहायक तत्व से एक स्वतंत्र, उच्च-प्रदर्शन वाले जासूसी मंच में परिवर्तन आधुनिक साइबर खतरे के तंत्र की निरंतरता और अनुकूलन क्षमता को उजागर करता है। यहां तक कि नष्ट करने के प्रयासों के बाद भी, बुनियादी ढांचा विकसित होता रहता है, जिससे विरोधियों को अक्सर नई भेद्यता के खुलासे के कुछ ही घंटों के भीतर कार्रवाई योग्य लक्ष्यीकरण संबंधी जानकारी मिलती है।