Oferta rabatowa na wiele licencji
Baza danych zagrożeń Botnety Botnet JDY

Botnet JDY

Do Mezo w Botnety, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Badacze cyberbezpieczeństwa zidentyfikowali znaczący odrodzenie i ekspansję JDY, tajnej sieci powiązanej z powiązanymi z Chinami i sponsorowanymi przez państwo aktorami zagrożeń. Pierwotnie wykryta w grudniu 2023 roku jako klaster w ramach większej infrastruktury botnetu KV, JDY przekształciła się w niezależną, wysoce skuteczną platformę rozpoznawczą.

Sieć składa się z ponad 1500 zainfekowanych urządzeń z segmentu małych biur i biur domowych (SOHO) oraz urządzeń Internetu Rzeczy (IoT). Zamiast być wykorzystywanym głównie do ataków bezpośrednich, JDY działa jako centralnie zarządzany, wydajny system skanowania, zdolny do wykrywania, identyfikacji i ciągłego mapowania usług narażonych na dostęp do internetu na dużą skalę.

Chińskie grupy przestępcze, w tym Volt Typhoon, wykorzystywały już wcześniej tę sieć do gromadzenia informacji wywiadowczych i identyfikacji celów.

Adaptacja po zniszczeniu botnetu KV

Po tym, jak rząd USA zlikwidował botnet KV na początku 2024 roku, operatorzy JDY zmodyfikowali swoje działania operacyjne. Podczas gdy drugorzędny klaster KV w dużej mierze zniknął, JDY nadal ewoluował i się rozwijał. Naukowcy uważają, że infrastruktura może być współdzielona z wieloma chińskimi grupami hakerskimi, a jednocześnie wykorzystywana bezpośrednio przez operatorów do działań rozpoznawczych.

Najnowsze dochodzenia ujawniają, że złośliwe oprogramowanie atakuje obecnie znacznie szerszy zakres urządzeń i służy jako warstwa gromadzenia danych w ramach większego ekosystemu skanowania. Ustrukturyzowane informacje rozpoznawcze gromadzone przez JDY są przekazywane do systemów, które ułatwiają wybór celu i późniejsze działania ofensywne.

Szczególnie niepokojąca jest rola JDY w szybkim identyfikowaniu podatnych systemów po publicznym ujawnieniu luk w zabezpieczeniach. Takie zachowanie sugeruje istnienie wysoce zorganizowanej operacji rozpoznawczej, której wyniki są później wykorzystywane przez chińskie podmioty państwowe.

Szybki wzrost i globalna ekspansja

Botnet odnotował znaczny wzrost, zwiększając liczbę zainfekowanych urządzeń z około 650 w styczniu 2024 roku do ponad 1500 zainfekowanych systemów. Większość zainfekowanych węzłów znajduje się w Stanach Zjednoczonych i Brazylii, a ich koncentracja jest również w Europie i Azji. Rosnąca liczba brazylijskich urządzeń odzwierciedla szerszy trend, w którym botnety coraz częściej opierają się na zainfekowanych systemach w Brazylii.

Ekosystem urządzeń JDY stał się również znacznie bardziej zróżnicowany. Podczas gdy wcześniejsze wersje bazowały głównie na routerach Cisco RV320 i RV325, obecna sieć obejmuje sprzęt wielu dostawców:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Ta różnorodność wzmacnia odporność sieci i poszerza jej zasięg operacyjny.

Włączanie się do legalnego ruchu internetowego

Znaczna część infrastruktury JDY składa się z urządzeń SOHO i IoT zlokalizowanych w USA. Taka dystrybucja pozwala operatorom ominąć wiele tradycyjnych zabezpieczeń, w tym ograniczenia geofencingu, filtrowanie reputacji adresów IP i statyczne listy blokowanych urządzeń.

Rozprzestrzeniając działania rozpoznawcze na tysiące zainfekowanych adresów IP, operatorzy zmniejszają prawdopodobieństwo zidentyfikowania i zablokowania pojedynczego systemu jako źródła skanowania. Co więcej, korzystanie z legalnych urządzeń konsumenckich i małych firm pozwala złośliwemu ruchowi w bardziej naturalny sposób łączyć się ze zwykłą aktywnością w internecie, znacznie utrudniając jego wykrycie.

Warstwowa infrastruktura zaprojektowana z myślą o ukryciu

JDY działa w oparciu o zaawansowaną, warstwową architekturę. Aktorzy zagrożeń wykorzystują węzły Tor do zarządzania infrastrukturą dowodzenia i kontroli (C2) oraz serwerami dostarczającymi dane, co pomaga ukryć aktywność operacyjną.

Zamiast przeprowadzać bezładne skanowanie całego internetu, serwery C2 przydzielają zainfekowanym urządzeniom ukierunkowane zadania rozpoznawcze i profilowania. Zebrane dane wywiadowcze są przesyłane z powrotem do scentralizowanych serwerów, gdzie są agregowane i analizowane w celu wsparcia szerszych chińskich operacji cybernetycznych i realizacji celów strategicznych.

Wykorzystywanie nowo ujawnionych luk w zabezpieczeniach

Łańcuchy ataków związane z JDY często wykorzystują nowo opublikowane luki w zabezpieczeniach urządzeń brzegowych, w tym luki takie jak CVE-2026-35616. Skuteczne wykorzystanie luki uruchamia skrypt powłoki, który najpierw sprawdza, czy złośliwe oprogramowanie jest już obecne w systemie docelowym.

Jeśli nie zostanie wykryta aktywna infekcja, dropper pobiera odpowiedni ładunek złośliwego oprogramowania na podstawie architektury procesora ofiary, w tym warianty dla systemów MIPS, MIPS64, MIPSEL i MIPSEL64. Po uruchomieniu pobrane złośliwe oprogramowanie usuwa się z dysku, aby ograniczyć widoczność w ramach analizy kryminalistycznej.

Zaawansowane możliwości rozpoznania i skanowania adaptacyjnego

Głównym celem złośliwego oprogramowania jest gromadzenie informacji wywiadowczych, a nie bezpośrednie wykorzystanie. Po aktywacji, odcisk palca zainfekowanego hosta, otrzymuje zadania skanowania z centralnej infrastruktury dowodzenia, przeprowadza sondowanie sieci na dużą skalę, zbiera dane odpowiedzi, takie jak certyfikaty TLS i metadane usług, i raportuje wyniki do serwerów dyspozytorskich.

Silnik skanujący jest wysoce adaptacyjny i dostosowuje swoje zachowanie do uprawnień dostępnych na zainfekowanym urządzeniu:

Gdy możliwy jest dostęp do poziomu root, złośliwe oprogramowanie otwiera surowe gniazda i przeprowadza szybkie skanowanie SYN przy użyciu specjalnie przygotowanych pakietów TCP.
Gdy nie są dostępne podwyższone uprawnienia lub gdy konieczne jest przeprowadzenie rozpoznania internetowego, system wykorzystuje standardowe połączenia TCP i TLS, a także może wykorzystywać techniki sondowania bazujące na protokołach UDP i ICMP.

Taka elastyczność pozwala JDY na maksymalizację skuteczności rozpoznania w przypadku wystąpienia zagrożeń w szerokiej gamie systemów.

Stała zdolność rozpoznania dla chińskich aktorów stanowiących zagrożenie

Naukowcy uważają, że informacje wywiadowcze zebrane za pośrednictwem JDY wspierają operacje wykrywania zasobów, procesy wykrywania luk w zabezpieczeniach oraz platformy do dalszej eksploatacji lub koordynacji ataków.

Botnet ilustruje, jak nowoczesne sieci IoT i urządzeń SOHO są coraz częściej przekształcane w platformy rozpoznawcze szybkiego reagowania, zdolne do identyfikacji podatnej infrastruktury wkrótce po ujawnieniu luk w zabezpieczeniach. Jego ciągły rozwój pokazuje, że przerwanie działania poszczególnych klastrów lub węzłów niekoniecznie eliminuje ich podstawową funkcjonalność.

Transformacja JDY z elementu wspomagającego botnet KV w niezależną, wysokowydajną platformę rozpoznawczą podkreśla trwałość i zdolność adaptacji współczesnych ekosystemów cyberzagrożeń. Nawet po zakończeniu działań likwidacyjnych infrastruktura ta stale ewoluuje, dostarczając przeciwnikom użytecznych informacji o celach, często w ciągu kilku godzin od ujawnienia nowej luki w zabezpieczeniach.

Popularne

Najczęściej oglądane

Ładowanie...