Ботнет JDY
Исследователи в области кибербезопасности выявили значительное возрождение и расширение сети JDY, скрытой сети, связанной с поддерживаемыми государством субъектами угроз, лояльными Китаю. Первоначально обнаруженная в декабре 2023 года как кластер в рамках более крупной инфраструктуры ботнета KV, сеть JDY превратилась в независимую, высокоэффективную платформу для разведки.
Сеть состоит из более чем 1500 скомпрометированных устройств малого/домашнего офиса (SOHO) и устройств Интернета вещей (IoT). Вместо того чтобы использоваться в основном для прямых атак, JDY функционирует как централизованно управляемая высокопроизводительная система сканирования, способная обнаруживать, идентифицировать и непрерывно отображать доступные через Интернет сервисы в больших масштабах.
Китайские террористические группировки, включая Volt Typhoon, ранее использовали эту сеть для сбора разведывательной информации и идентификации целей.
Оглавление
Адаптация после удаления ботнета KV
После того, как правительство США ликвидировало ботнет KV в начале 2024 года, операторы JDY изменили свою оперативную деятельность. Хотя вторичный кластер KV в значительной степени исчез, JDY продолжал развиваться и расширяться. Исследователи полагают, что инфраструктура может использоваться несколькими китайскими хакерскими группами, а также напрямую операторами для разведывательных операций.
Недавние расследования показывают, что вредоносное ПО теперь нацелено на гораздо более широкий спектр устройств и служит уровнем сбора данных в рамках более крупной экосистемы сканирования. Структурированная разведывательная информация, собранная JDY, поступает в системы, которые облегчают выбор целей и последующую эксплуатацию уязвимостей.
Особую обеспокоенность вызывает роль JDY в быстром выявлении уязвимых систем после публичного раскрытия информации об этих уязвимостях. Такое поведение указывает на существование высокоорганизованной разведывательной операции, результаты которой впоследствии используются китайскими государственными структурами.
Быстрый рост и глобальная экспансия
Ботнет значительно разросся, увеличившись с примерно 650 зараженных устройств в январе 2024 года до более чем 1500 скомпрометированных систем. Большинство зараженных узлов расположены в США и Бразилии, а также имеются дополнительные концентрации в Европе и Азии. Рост числа бразильских устройств отражает более широкую тенденцию, в рамках которой ботнеты все чаще используют скомпрометированные системы в Бразилии.
Экосистема устройств JDY также стала значительно более разнообразной. Если в более ранних версиях в основном использовались маршрутизаторы Cisco RV320 и RV325, то в текущей сети используется оборудование от нескольких производителей:
- Cisco
- Аракнис
- Mimosa Networks
- Ubiquiti
- ДрейТек
- Хиквизион
- Линксис
Такое разнообразие повышает устойчивость сети и расширяет сферу ее оперативной деятельности.
Слияние с легитимным интернет-трафиком
Значительная часть инфраструктуры JDY состоит из устройств SOHO и IoT, размещенных в США. Такое распределение позволяет операторам обходить многие традиционные средства контроля безопасности, включая ограничения по географическому признаку, фильтрацию по репутации IP-адресов и статические черные списки.
Распределяя разведывательную активность по тысячам скомпрометированных IP-адресов, операторы снижают вероятность того, что какая-либо отдельная система будет идентифицирована и заблокирована как источник сканирования. Кроме того, использование легитимных потребительских устройств и устройств малого бизнеса позволяет вредоносному трафику более естественно сливаться с обычной интернет-активностью, что значительно затрудняет обнаружение.
Многоуровневая инфраструктура, разработанная для скрытного доступа
JDY работает на основе сложной многоуровневой архитектуры. Злоумышленники используют узлы Tor для управления как инфраструктурой управления и контроля (C2), так и серверами доставки полезной нагрузки, что помогает скрывать оперативную деятельность.
Вместо проведения неизбирательного сканирования всего интернета, серверы управления и контроля назначают зараженным устройствам целевые задачи по разведке и профилированию. Собранная информация передается на централизованные серверы, где она агрегируется и анализируется для поддержки более масштабных китайских кибер-операций и стратегических целей.
Эксплуатация недавно обнаруженных уязвимостей
Атаки, связанные с JDY, часто используют недавно обнаруженные уязвимости в периферийных устройствах, включая такие уязвимости, как CVE-2026-35616. Успешная эксплуатация запускает доставку скрипта-загрузчика, который сначала проверяет, присутствует ли вредоносное ПО уже в целевой системе.
Если активная инфекция не обнаружена, программа-загрузчик загружает соответствующую вредоносную программу в зависимости от архитектуры процессора жертвы, включая варианты для систем MIPS, MIPS64, MIPSEL и MIPSEL64. После запуска загруженная вредоносная программа удаляется с диска, чтобы уменьшить возможности для проведения криминалистического анализа.
Расширенные возможности разведки и адаптивного сканирования
Основная цель вредоносной программы — сбор разведывательной информации, а не прямая эксплуатация. После активации она определяет «идентификатор» скомпрометированного хоста, получает задания на сканирование от центральной командной инфраструктуры, выполняет масштабное сетевое зондирование, собирает данные ответов, такие как TLS-сертификаты и метаданные служб, и передает результаты на диспетчерские серверы.
Его сканирующий механизм обладает высокой адаптивностью и корректирует свое поведение в зависимости от привилегий, доступных на зараженном устройстве:
При наличии прав root вредоносная программа открывает необработанные сокеты и выполняет высокоскоростное SYN-сканирование с использованием специально сформированных TCP-пакетов.
Когда расширенные привилегии недоступны или когда требуется веб-разведка, система использует стандартные соединения TCP и TLS, а также может применять методы зондирования на основе UDP и ICMP.
Такая гибкость позволяет JDY максимально повысить эффективность разведки в широком диапазоне уязвимых систем.
Возможность постоянной разведки для китайских угроз.
Исследователи считают, что информация, собранная с помощью JDY, поддерживает операции по обнаружению активов, рабочие процессы выявления уязвимостей, а также платформы для последующей эксплуатации или организации атак.
Ботнет демонстрирует, как современные сети устройств IoT и SOHO все чаще трансформируются в платформы быстрого реагирования для разведки, способные выявлять уязвимую инфраструктуру вскоре после того, как становятся известны недостатки безопасности. Его продолжающийся рост показывает, что нарушение работы отдельных кластеров или узлов не обязательно устраняет базовые возможности.
Превращение JDY из вспомогательного элемента ботнета KV в независимую высокопроизводительную разведывательную платформу подчеркивает устойчивость и адаптивность современных экосистем киберугроз. Даже после попыток нейтрализации инфраструктура продолжает развиваться, предоставляя противникам оперативную информацию для целевого воздействия, зачастую в течение нескольких часов после обнаружения новой уязвимости.
