Vairāku licenču atlaides piedāvājums
Draudu datu bāze Bottīkli JDY botnets

JDY botnets

Līdz Mezo. gadam Bottīkli, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki ir identificējuši ievērojamu JDY atdzimšanu un paplašināšanos. JDY ir slepens tīkls, kas saistīts ar Ķīnas atbalstītiem valsts atbalstītiem apdraudējumu dalībniekiem. Sākotnēji 2023. gada decembrī atklāts kā klasteris plašākā KV botnetu infrastruktūrā, JDY ir attīstījies par neatkarīgu, ļoti efektīvu izlūkošanas platformu.

Tīkls sastāv no vairāk nekā 1500 apdraudētām mazo biroju/mājas biroju (SOHO) un lietu interneta (IoT) ierīcēm. Tā vietā, lai galvenokārt tiktu izmantota tiešiem uzbrukumiem, JDY darbojas kā centrāli pārvaldīta, augstas veiktspējas skenēšanas sistēma, kas spēj atklāt, noņemt pirkstu nospiedumus un nepārtraukti kartēt internetā apdraudētus pakalpojumus plašā mērogā.

Ķīnas draudu grupas, tostarp Volt Typhoon, iepriekš ir izmantojušas tīklu, lai atbalstītu izlūkdienestu informācijas vākšanu un mērķu identificēšanu.

Adaptācija pēc KV-Botnet likvidēšanas

Pēc tam, kad ASV valdība 2024. gada sākumā demontēja KV botnetu, JDY operatori mainīja savu darbības paradumus. Kamēr sekundārais KV klasteris lielākoties pazuda, JDY turpināja attīstīties un paplašināties. Pētnieki uzskata, ka infrastruktūra, iespējams, tiek koplietota ar vairākām Ķīnas hakeru grupām, vienlaikus operatori to tieši izmanto izlūkošanas darbībām.

Jaunākās izmeklēšanas atklāj, ka ļaunprogrammatūra tagad ir vērsta uz daudz plašāku ierīču klāstu un kalpo kā datu vākšanas slānis plašākā skenēšanas ekosistēmā. JDY apkopotā strukturētā izlūkošanas informācija tiek ievadīta sistēmās, kas atvieglo mērķu izvēli un sekojošas izmantošanas darbības.

Īpaši satraucoša ir JDY loma ievainojamu sistēmu ātrā identificēšanā pēc publiski pieejamām ievainojamību atklāšanas. Šāda rīcība liecina par augsti organizētas izlūkošanas operācijas esamību, kuras atklājumus vēlāk izmanto Ķīnas nacionālās valsts dalībnieki.

Strauja izaugsme un globāla paplašināšanās

Bottīklu skaits ir ievērojami pieaudzis, palielinoties no aptuveni 650 inficētām ierīcēm 2024. gada janvārī līdz vairāk nekā 1500 apdraudētām sistēmām. Lielākā daļa inficēto mezglu atrodas Amerikas Savienotajās Valstīs un Brazīlijā, un papildu koncentrācija ir novērojama Eiropā un Āzijā. Pieaugošais Brazīlijas ierīču skaits atspoguļo plašāku tendenci, kurā bottīkli arvien vairāk paļaujas uz apdraudētām sistēmām Brazīlijā.

Arī JDY ierīču ekosistēma ir kļuvusi ievērojami daudzveidīgāka. Lai gan iepriekšējās versijas galvenokārt balstījās uz Cisco RV320 un RV325 maršrutētājiem, pašreizējā tīklā ir iekļauta aparatūra no vairākiem piegādātājiem:

  • Cisco
  • Araknis
  • Mimosa tīkli
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Šī daudzveidība stiprina tīkla noturību un paplašina tā darbības tvērumu.

Iekļaušanās likumīgā interneta datplūsmā

Ievērojamu JDY infrastruktūras daļu veido ASV bāzētas SOHO un IoT ierīces. Šis izplatījums ļauj operatoriem apiet daudzas tradicionālās drošības kontroles, tostarp ģeogrāfiskās norobežošanas ierobežojumus, IP reputācijas filtrēšanu un statiskos bloķēšanas sarakstus.

Izplatot izlūkošanas darbības tūkstošiem kompromitētu IP adrešu, operatori samazina iespējamību, ka jebkura atsevišķa sistēma tiks identificēta un bloķēta kā skenēšanas avots. Turklāt likumīgu patērētāju un mazo uzņēmumu ierīču izmantošana ļauj ļaunprātīgai datplūsmai dabiskāk saplūst ar parasto interneta darbību, ievērojami apgrūtinot atklāšanu.

Slāņota infrastruktūra, kas paredzēta slepenībai

JDY darbojas, izmantojot sarežģītu, slāņotu arhitektūru. Apdraudējumu dalībnieki izmanto Tor mezglus, lai pārvaldītu gan vadības un kontroles (C2) infrastruktūru, gan lietderīgās slodzes piegādes serverus, palīdzot slēpt operatīvās darbības.

Tā vietā, lai veiktu nekritisku skenēšanu visā internetā, C2 serveri inficētajām ierīcēm piešķir mērķtiecīgus izlūkošanas un profilēšanas uzdevumus. Apkopotā informācija tiek nosūtīta atpakaļ uz centralizētiem serveriem, kur tā tiek apkopota un analizēta, lai atbalstītu plašākas Ķīnas kiberoperācijas un stratēģiskos mērķus.

Jaunatklātu ievainojamību izmantošana

Ar JDY saistītās uzbrukumu ķēdes bieži vien izmanto ieročus, lai izmantotu nesen publicētas ievainojamības perifērijas ierīcēs, tostarp tādas ievainojamības kā CVE-2026-35616. Veiksmīga ievainojamības izmantošana aktivizē čaulas skripta nomešanas pakalpojuma piegādi, kas vispirms pārbauda, vai ļaunprogrammatūra jau atrodas mērķa sistēmā.

Ja netiek konstatēta aktīva infekcija, nomešanas rīks izgūst atbilstošo ļaunprogrammatūras lietderīgo slodzi, pamatojoties uz upura procesora arhitektūru, tostarp MIPS, MIPS64, MIPSEL un MIPSEL64 sistēmu variantus. Pēc izpildes lejupielādētā ļaunprogrammatūra tiek noņemta no diska, lai samazinātu forenzikas redzamību.

Uzlabotas izlūkošanas un adaptīvās skenēšanas iespējas

Ļaunprogrammatūras galvenais mērķis ir informācijas vākšana, nevis tieša izmantošana. Kad tā ir aktīva, tā nolasa apdraudētā resursdatora pirkstu nospiedumus, saņem skenēšanas uzdevumus no centrālās komandu infrastruktūras, veic liela mēroga tīkla zondēšanu, apkopo atbildes datus, piemēram, TLS sertifikātus un pakalpojumu metadatus, un ziņo par atradumiem dispečeru serveriem.

Tās skenēšanas dzinējs ir ļoti adaptīvs un pielāgo savu darbību atbilstoši inficētajā ierīcē pieejamajām privilēģijām:

Kad ir pieejama root līmeņa piekļuve, ļaunprogrammatūra atver neapstrādātas ligzdas un veic ātrdarbīgu SYN skenēšanu, izmantojot pielāgotus TCP paketes.
Ja paaugstinātas privilēģijas nav pieejamas vai ja nepieciešama tīmekļa izpēte, tā balstās uz standarta TCP un TLS savienojumiem un var izmantot arī UDP un ICMP balstītas zondēšanas metodes.

Šī elastība ļauj JDY maksimāli palielināt izlūkošanas efektivitāti plašā apdraudēto sistēmu klāstā.

Pastāvīgas izlūkošanas spējas Ķīnas draudu dalībniekiem

Pētnieki uzskata, ka, izmantojot JDY, iegūtā informācija atbalsta aktīvu atklāšanas operācijas, ievainojamību novēršanas darbplūsmas un lejupējas ekspluatācijas vai uzbrukumu orķestrēšanas platformas.

Bottīkls ilustrē, kā mūsdienu lietu interneta (IoT) un mājas biroja (SOHO) ierīču tīkli arvien vairāk tiek pārveidoti par ātras reaģēšanas izlūkošanas platformām, kas spēj identificēt neaizsargātu infrastruktūru neilgi pēc tam, kad drošības trūkumi kļūst publiski pieejami. Tā nepārtrauktā izaugsme parāda, ka atsevišķu klasteru vai mezglu darbības traucēšana ne vienmēr likvidē pamatā esošās spējas.

JDY pārtapšana no KV botneta atbalsta elementa par neatkarīgu, augstas veiktspējas izlūkošanas platformu uzsver mūsdienu kiberdraudu ekosistēmu noturību un pielāgošanās spēju. Pat pēc demontāžas centieniem infrastruktūra turpina attīstīties, nodrošinot pretiniekiem rīcības nolūkos izmantojamu mērķauditorijas izlūkošanas informāciju, bieži vien dažu stundu laikā pēc jaunas ievainojamības atklāšanas.

Tendences

Drošības atjauninājums uzticamu ierīču un atrašanās...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi, īpaši, ja tie ietver konta drošības brīdinājumus vai pieprasījumus pārbaudīt personas informāciju. Kibernoziedznieki bieži maskē pikšķerēšanas ziņojumus kā oficiālus paziņojumus, lai manipulētu ar saņēmējiem, panāktu sensitīvu datu atklāšanu. E-pasti “Drošības atjauninājums uzticamu ierīču un atrašanās vietu...

Visvairāk skatīts

Notiek ielāde...