បណ្តាញ JDY

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណការលេចចេញជាថ្មី និងការពង្រីកដ៏សំខាន់របស់ JDY ដែលជាបណ្តាញសម្ងាត់មួយដែលភ្ជាប់ទៅនឹងភ្នាក់ងារគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន។ ដំបូងឡើយត្រូវបានរកឃើញនៅក្នុងខែធ្នូ ឆ្នាំ២០២៣ ជាចង្កោមមួយនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ KV-botnet ធំជាងនេះ JDY បានវិវត្តទៅជាវេទិកាឈ្លបយកការណ៍ឯករាជ្យ និងមានប្រសិទ្ធភាពខ្ពស់។

បណ្តាញនេះមានឧបករណ៍ការិយាល័យខ្នាតតូច/ការិយាល័យនៅផ្ទះ (SOHO) និងឧបករណ៍អ៊ីនធឺណិតនៃវត្ថុ (IoT) ជាង 1,500 ដែលរងការគំរាមកំហែង។ ជំនួសឱ្យការប្រើប្រាស់ជាចម្បងសម្រាប់ការវាយប្រហារដោយផ្ទាល់ JDY ដំណើរការជាប្រព័ន្ធស្កេនដំណើរការខ្ពស់ និងគ្រប់គ្រងដោយកណ្តាល ដែលមានសមត្ថភាពស្វែងរក ស្កេនស្នាមម្រាមដៃ និងគូសផែនទីជាបន្តបន្ទាប់នូវសេវាកម្មដែលប៉ះពាល់នឹងអ៊ីនធឺណិតក្នុងទ្រង់ទ្រាយធំ។

ក្រុមគំរាមកំហែងរបស់ចិន រួមទាំង Volt Typhoon ពីមុនបានប្រើប្រាស់បណ្តាញនេះដើម្បីគាំទ្រដល់ការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ និងកិច្ចខិតខំប្រឹងប្រែងកំណត់អត្តសញ្ញាណគោលដៅ។

ការសម្របខ្លួនបន្ទាប់ពីការកម្ចាត់ KV-Botnet

បន្ទាប់ពីរដ្ឋាភិបាលសហរដ្ឋអាមេរិកបានរុះរើ KV-botnet នៅដើមឆ្នាំ 2024 ប្រតិបត្តិករ JDY បានកែប្រែឥរិយាបថប្រតិបត្តិការរបស់ពួកគេ។ ខណៈពេលដែលចង្កោម KV បន្ទាប់បន្សំបានបាត់ខ្លួនភាគច្រើន JDY បានបន្តវិវត្ត និងពង្រីក។ អ្នកស្រាវជ្រាវជឿថាហេដ្ឋារចនាសម្ព័ន្ធអាចត្រូវបានចែករំលែកជាមួយក្រុម hacking របស់ចិនជាច្រើន ខណៈពេលដែលក៏ត្រូវបានប្រើប្រាស់ដោយផ្ទាល់ដោយប្រតិបត្តិកររបស់ខ្លួនសម្រាប់សកម្មភាពឈ្លបយកការណ៍ផងដែរ។

ការស៊ើបអង្កេតថ្មីៗនេះបង្ហាញថា មេរោគនេះឥឡូវនេះកំណត់គោលដៅលើឧបករណ៍ជាច្រើនប្រភេទ និងបម្រើជាស្រទាប់ប្រមូលទិន្នន័យនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីស្កេនធំជាង។ ព័ត៌មានឈ្លបយកការណ៍ដែលមានរចនាសម្ព័ន្ធដែលប្រមូលបានដោយ JDY ត្រូវបានបញ្ចូលទៅក្នុងប្រព័ន្ធដែលជួយសម្រួលដល់ការជ្រើសរើសគោលដៅ និងសកម្មភាពកេងប្រវ័ញ្ចជាបន្តបន្ទាប់។

អ្វីដែលគួរឲ្យព្រួយបារម្ភជាពិសេសនោះគឺតួនាទីរបស់ JDY ក្នុងការកំណត់ប្រព័ន្ធងាយរងគ្រោះយ៉ាងឆាប់រហ័សបន្ទាប់ពីការបង្ហាញព័ត៌មានអំពីភាពងាយរងគ្រោះជាសាធារណៈ។ ឥរិយាបថនេះបង្ហាញពីអត្ថិភាពនៃប្រតិបត្តិការឈ្លបយកការណ៍ដែលមានការរៀបចំខ្ពស់ ដែលការរកឃើញរបស់វាក្រោយមកត្រូវបានប្រើប្រាស់ដោយតួអង្គរដ្ឋចិន។

កំណើនយ៉ាងឆាប់រហ័ស និងការពង្រីកសកលលោក

មេរោគ botnet បានជួបប្រទះការរីកចម្រើនគួរឱ្យកត់សម្គាល់ ដោយកើនឡើងពីឧបករណ៍ដែលឆ្លងមេរោគប្រហែល 650 គ្រឿងក្នុងខែមករា ឆ្នាំ 2024 ដល់ប្រព័ន្ធដែលរងការសម្របសម្រួលជាង 1,500 គ្រឿង។ ណូតដែលឆ្លងមេរោគភាគច្រើនមានទីតាំងនៅសហរដ្ឋអាមេរិក និងប្រេស៊ីល ជាមួយនឹងការប្រមូលផ្តុំបន្ថែមនៅទូទាំងអឺរ៉ុប និងអាស៊ី។ ចំនួនឧបករណ៍ប្រេស៊ីលដែលកំពុងកើនឡើងឆ្លុះបញ្ចាំងពីនិន្នាការកាន់តែទូលំទូលាយ ដែលមេរោគ botnet ពឹងផ្អែកកាន់តែខ្លាំងឡើងលើប្រព័ន្ធដែលរងការសម្របសម្រួលនៅក្នុងប្រទេសប្រេស៊ីល។

ប្រព័ន្ធអេកូឡូស៊ីឧបករណ៍របស់ JDY ក៏កាន់តែមានភាពចម្រុះផងដែរ។ ខណៈពេលដែលកំណែមុនៗពឹងផ្អែកជាចម្បងលើរ៉ោតទ័រ Cisco RV320 និង RV325 បណ្តាញបច្ចុប្បន្នរួមបញ្ចូលផ្នែករឹងពីអ្នកលក់ច្រើន៖

• ស៊ីស្កូ
• អារ៉ាកនីស
• បណ្តាញ Mimosa
• គ្រប់ទីកន្លែង

ភាពចម្រុះនេះពង្រឹងភាពធន់របស់បណ្តាញ និងពង្រីកវិសាលភាពប្រតិបត្តិការរបស់ខ្លួន។

លាយបញ្ចូលគ្នាទៅក្នុងចរាចរណ៍អ៊ីនធឺណិតស្របច្បាប់

ផ្នែកសំខាន់មួយនៃហេដ្ឋារចនាសម្ព័ន្ធរបស់ JDY ត្រូវបានផ្សំឡើងដោយឧបករណ៍ SOHO និង IoT ដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិក។ ការចែកចាយនេះអនុញ្ញាតឱ្យប្រតិបត្តិកររំលងការគ្រប់គ្រងសុវត្ថិភាពបែបប្រពៃណីជាច្រើន រួមទាំងការរឹតបន្តឹង geofencing ការច្រោះកេរ្តិ៍ឈ្មោះ IP និងបញ្ជីរារាំងឋិតិវន្ត។

តាមរយៈការរីករាលដាលសកម្មភាពឈ្លបយកការណ៍នៅទូទាំងអាសយដ្ឋាន IP រាប់ពាន់ដែលត្រូវបានលួចចូល ប្រតិបត្តិករកាត់បន្ថយលទ្ធភាពដែលប្រព័ន្ធណាមួយនឹងត្រូវបានកំណត់អត្តសញ្ញាណ និងរារាំងជាប្រភពស្កេន។ លើសពីនេះ ការប្រើប្រាស់ឧបករណ៍អ្នកប្រើប្រាស់ស្របច្បាប់ និងអាជីវកម្មខ្នាតតូចអនុញ្ញាតឱ្យចរាចរណ៍ព្យាបាទលាយបញ្ចូលគ្នាកាន់តែធម្មជាតិជាមួយនឹងសកម្មភាពអ៊ីនធឺណិតធម្មតា ដែលធ្វើឱ្យការរកឃើញកាន់តែពិបាក។

ហេដ្ឋារចនាសម្ព័ន្ធស្រទាប់ៗត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់

JDY ដំណើរការតាមរយៈស្ថាបត្យកម្មដ៏ទំនើប និងស្រទាប់ៗ។ ភ្នាក់ងារគំរាមកំហែងប្រើប្រាស់ Tor nodes ដើម្បីគ្រប់គ្រងទាំងហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) និងម៉ាស៊ីនបម្រើចែកចាយបន្ទុក ដោយជួយលាក់សកម្មភាពប្រតិបត្តិការ។

ជំនួស​ឲ្យ​ការ​ធ្វើ​ការ​ស្កេន​ទូទាំង​អ៊ីនធឺណិត​ដោយ​មិន​រើសអើង ម៉ាស៊ីន​បម្រើ C2 ចាត់តាំង​ភារកិច្ច​ឈ្លបយកការណ៍ និង​ការ​វិភាគ​គោលដៅ​ទៅ​កាន់​ឧបករណ៍​ដែល​មាន​មេរោគ។ ព័ត៌មាន​ស៊ើបការណ៍​សម្ងាត់​ដែល​ប្រមូល​បាន​ត្រូវ​បាន​បញ្ជូន​ត្រឡប់​ទៅ​ម៉ាស៊ីន​បម្រើ​កណ្តាល​វិញ ជា​កន្លែង​ដែល​វា​ត្រូវ​បាន​ប្រមូលផ្តុំ និង​វិភាគ​ដើម្បី​គាំទ្រ​ដល់​ប្រតិបត្តិការ​អ៊ីនធឺណិត​របស់​ចិន​កាន់តែ​ទូលំទូលាយ និង​គោលបំណង​យុទ្ធសាស្ត្រ។

ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលទើបនឹងបង្ហាញថ្មីៗ

ខ្សែសង្វាក់វាយប្រហារដែលជាប់ទាក់ទងនឹង JDY ជារឿយៗប្រើប្រាស់ភាពងាយរងគ្រោះដែលទើបបោះពុម្ពផ្សាយថ្មីៗនៅក្នុងឧបករណ៍គែម រួមទាំងភាពងាយរងគ្រោះដូចជា CVE-2026-35616។ ការកេងប្រវ័ញ្ចដោយជោគជ័យបង្កឱ្យមានការចែកចាយ shell-script dropper ដែលពិនិត្យមើលជាមុនសិនថាតើមេរោគមានវត្តមាននៅលើប្រព័ន្ធគោលដៅរួចហើយឬអត់។

ប្រសិនបើមិនមានការឆ្លងមេរោគសកម្មត្រូវបានរកឃើញទេ ឧបករណ៍ទម្លាក់មេរោគនឹងទាញយកទិន្នន័យមេរោគសមស្របដោយផ្អែកលើស្ថាបត្យកម្មដំណើរការរបស់ជនរងគ្រោះ រួមទាំងវ៉ារ្យ៉ង់សម្រាប់ប្រព័ន្ធ MIPS, MIPS64, MIPSEL និង MIPSEL64។ នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគដែលបានទាញយកនឹងលុបខ្លួនវាចេញពីថាសដើម្បីកាត់បន្ថយភាពមើលឃើញផ្នែកវិទ្យាសាស្ត្រ។

សមត្ថភាពឈ្លបយកការណ៍កម្រិតខ្ពស់ និងសមត្ថភាពស្កេនសម្របខ្លួន

គោលបំណងចម្បងរបស់មេរោគនេះគឺការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ជាជាងការកេងប្រវ័ញ្ចដោយផ្ទាល់។ នៅពេលដែលវាសកម្ម វានឹងដាក់ស្នាមម្រាមដៃលើម៉ាស៊ីនដែលរងការសម្របសម្រួល ទទួលកិច្ចការស្កេនពីហេដ្ឋារចនាសម្ព័ន្ធបញ្ជាកណ្តាល អនុវត្តការស៊ើបអង្កេតបណ្តាញទ្រង់ទ្រាយធំ ប្រមូលទិន្នន័យឆ្លើយតបដូចជាវិញ្ញាបនបត្រ TLS និងទិន្នន័យមេតាសេវាកម្ម និងរាយការណ៍ពីការរកឃើញត្រឡប់ទៅម៉ាស៊ីនមេបញ្ជូនវិញ។

ម៉ាស៊ីនស្កេនរបស់វាមានភាពបត់បែនខ្ពស់ ហើយកែតម្រូវឥរិយាបថរបស់វាទៅតាមសិទ្ធិដែលមាននៅលើឧបករណ៍ដែលឆ្លងមេរោគ៖

នៅពេលដែលការចូលប្រើកម្រិត root អាចប្រើបាន មេរោគនឹងបើក sockets ឆៅ ហើយអនុវត្តការស្កេន SYN ល្បឿនលឿនដោយប្រើកញ្ចប់ TCP ដែលបង្កើតឡើងតាមតម្រូវការ។
នៅពេលដែលសិទ្ធិខ្ពស់មិនអាចប្រើបាន ឬនៅពេលដែលត្រូវការការឈ្លបយកការណ៍តាមគេហទំព័រ វាពឹងផ្អែកលើការតភ្ជាប់ TCP និង TLS ស្តង់ដារ ហើយក៏អាចប្រើបច្ចេកទេសស៊ើបអង្កេតដែលមានមូលដ្ឋានលើ UDP និង ICMP ផងដែរ។

ភាពបត់បែននេះអនុញ្ញាតឱ្យ JDY បង្កើនប្រសិទ្ធភាពឈ្លបយកការណ៍នៅទូទាំងប្រព័ន្ធដែលរងការសម្របសម្រួលជាច្រើន។

សមត្ថភាពឈ្លបយកការណ៍ជាប់លាប់សម្រាប់អ្នកគំរាមកំហែងចិន

ក្រុមអ្នកស្រាវជ្រាវជឿជាក់ថា ព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលប្រមូលបានតាមរយៈ JDY គាំទ្រដល់ប្រតិបត្តិការស្វែងរកទ្រព្យសកម្ម លំហូរការងារកំណត់គោលដៅភាពងាយរងគ្រោះ និងការកេងប្រវ័ញ្ចនៅផ្នែកខាងក្រោម ឬវេទិការៀបចំការវាយប្រហារ។

បណ្តាញ​មេរោគ​ប្រភេទ botnet នេះ​បង្ហាញ​ពី​របៀប​ដែល​បណ្តាញ​ឧបករណ៍ IoT និង SOHO ទំនើបៗ​កំពុង​ត្រូវ​បាន​ផ្លាស់ប្តូរ​កាន់តែ​ខ្លាំង​ឡើង​ទៅ​ជា​វេទិកា​ឈ្លបយកការណ៍​ដែល​ឆ្លើយតប​យ៉ាង​រហ័ស ដែល​មាន​សមត្ថភាព​កំណត់​អត្តសញ្ញាណ​ហេដ្ឋារចនាសម្ព័ន្ធ​ងាយ​រងគ្រោះ​ភ្លាមៗ​បន្ទាប់​ពី​កំហុស​សុវត្ថិភាព​ត្រូវ​បាន​ផ្សព្វផ្សាយ​ជា​សាធារណៈ។ កំណើន​ជា​បន្តបន្ទាប់​របស់​វា​បង្ហាញ​ថា ការ​រំខាន​ដល់​ចង្កោម ឬ​ណូដ​នីមួយៗ​មិន​ចាំបាច់​លុប​បំបាត់​សមត្ថភាព​មូលដ្ឋាន​នោះ​ទេ។

ការផ្លាស់ប្តូររបស់ JDY ពីធាតុផ្សំជំនួយនៃ KV-botnet ទៅជាវេទិកាឈ្លបយកការណ៍ឯករាជ្យ និងមានប្រសិទ្ធភាពខ្ពស់ បានបង្ហាញពីភាពស្ថិតស្ថេរ និងភាពបត់បែននៃប្រព័ន្ធអេកូឡូស៊ីគំរាមកំហែងតាមអ៊ីនធឺណិតទំនើប។ សូម្បីតែបន្ទាប់ពីកិច្ចខិតខំប្រឹងប្រែងកម្ចាត់ចោលក៏ដោយ ហេដ្ឋារចនាសម្ព័ន្ធនៅតែបន្តវិវឌ្ឍ ដោយផ្តល់ឱ្យសត្រូវនូវព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលអាចកំណត់គោលដៅបាន ជារឿយៗក្នុងរយៈពេលប៉ុន្មានម៉ោងបន្ទាប់ពីការបង្ហាញភាពងាយរងគ្រោះថ្មី។