JDY Botnet
Raziskovalci kibernetske varnosti so odkrili znatno ponovno širjenje JDY, prikritega omrežja, povezanega s Kitajsko povezanimi državno sponzoriranimi akterji grožnje. JDY je bil prvotno odkrit decembra 2023 kot grozd znotraj večje infrastrukture botneta KV, nato pa se je razvil v neodvisno, zelo učinkovito izvidniško platformo.
Omrežje sestavlja več kot 1500 ogroženih naprav za majhne pisarne/domače pisarne (SOHO) in internet stvari (IoT). Namesto da bi se uporabljal predvsem za neposredne napade, JDY deluje kot centralno upravljan, visokozmogljiv sistem skeniranja, ki je sposoben odkrivati, jemati prstne odtise in neprekinjeno mapirati internetno izpostavljene storitve v velikem obsegu.
Kitajske skupine za groženje, vključno z Volt Typhoon, so omrežje že prej uporabljale za podporo zbiranja obveščevalnih podatkov in prizadevanj za identifikacijo ciljev.
Kazalo
Prilagoditev po odstranitvi KV-Botneta
Potem ko je ameriška vlada v začetku leta 2024 razstavila botnet KV, so operaterji JDY spremenili svoje operativno vedenje. Medtem ko je sekundarni grozd KV večinoma izginil, se je JDY še naprej razvijal in širil. Raziskovalci menijo, da bi infrastrukturo lahko delilo več kitajskih hekerskih skupin, operaterji pa bi jo lahko neposredno uporabljali za izvidniške dejavnosti.
Nedavne preiskave kažejo, da zlonamerna programska oprema zdaj cilja na veliko širši nabor naprav in služi kot plast zbiranja podatkov znotraj večjega ekosistema skeniranja. Strukturirane izvidniške informacije, ki jih zbere JDY, se vnašajo v sisteme, ki olajšajo izbiro ciljev in nadaljnje dejavnosti izkoriščanja.
Posebej zaskrbljujoča je vloga JDY pri hitrem prepoznavanju ranljivih sistemov po javnih razkritjih ranljivosti. Takšno vedenje kaže na obstoj visoko organizirane izvidniške operacije, katere ugotovitve kasneje uporabijo kitajski nacionalni državni akterji.
Hitra rast in globalna širitev
Omrežje botnetov je doživelo znatno rast, saj se je število okuženih naprav januarja 2024 povečalo s približno 650 na več kot 1500 ogroženih sistemov. Večina okuženih vozlišč se nahaja v Združenih državah Amerike in Braziliji, dodatne koncentracije pa so po vsej Evropi in Aziji. Naraščajoče število brazilskih naprav odraža širši trend, v katerem se botneti vse bolj zanašajo na ogrožene sisteme v Braziliji.
JDY-jev ekosistem naprav je postal tudi precej bolj raznolik. Medtem ko so se prejšnje različice v glavnem zanašale na usmerjevalnike Cisco RV320 in RV325, trenutno omrežje vključuje strojno opremo več ponudnikov:
- Cisco
- Araknis
- Mimosa Networks
- Ubiquiti
Ta raznolikost krepi odpornost omrežja in širi njegov operativni doseg.
Vključevanje v legitimni internetni promet
Pomemben del infrastrukture JDY sestavljajo naprave SOHO in IoT s sedežem v ZDA. Ta distribucija omogoča operaterjem, da obidejo številne tradicionalne varnostne kontrole, vključno z omejitvami geofencinga, filtriranjem ugleda IP-naslovov in statičnimi seznami blokad.
Z razpršitvijo izvidniške dejavnosti na tisoče ogroženih naslovov IP operaterji zmanjšajo verjetnost, da bo kateri koli posamezen sistem prepoznan in blokiran kot vir skeniranja. Poleg tega uporaba legitimnih potrošniških in malih poslovnih naprav omogoča, da se zlonamerni promet bolj naravno zlije z običajno internetno dejavnostjo, zaradi česar je odkrivanje bistveno težje.
Večplastna infrastruktura, zasnovana za prikritost
JDY deluje prek sofisticirane, večplastne arhitekture. Grožnje uporabljajo vozlišča Tor za upravljanje infrastrukture poveljevanja in nadzora (C2) in strežnikov za dostavo koristnih podatkov, kar pomaga prikriti operativne dejavnosti.
Namesto izvajanja neselektivnih pregledov po celotnem internetu strežniki C2 okuženim napravam dodelijo ciljno usmerjene naloge izvidovanja in profiliranja. Zbrani obveščevalni podatki se posredujejo nazaj na centralizirane strežnike, kjer se združujejo in analizirajo za podporo širšim kitajskim kibernetskim operacijam in strateškim ciljem.
Izkoriščanje novo odkritih ranljivosti
Verige napadov, povezane z JDY, pogosto izkoriščajo novo objavljene ranljivosti v napravah na robu sistema, vključno z ranljivostmi, kot je CVE-2026-35616. Uspešna izkoriščanje sproži dostavo skripte lupine, ki najprej preveri, ali je zlonamerna programska oprema že prisotna v ciljnem sistemu.
Če ni zaznana nobena aktivna okužba, program za prenos zlonamerne programske opreme pridobi ustrezen koristni tovor zlonamerne programske opreme glede na arhitekturo procesorja žrtve, vključno z različicami za sisteme MIPS, MIPS64, MIPSEL in MIPSEL64. Ko se prenesena zlonamerna programska oprema izvede, se odstrani z diska, da se zmanjša forenzična vidnost.
Napredne zmogljivosti izvidovanja in prilagodljivega skeniranja
Glavni namen zlonamerne programske opreme je zbiranje obveščevalnih podatkov in ne neposredno izkoriščanje. Ko je aktivna, odtisne prstne odtise ogroženega gostitelja, prejme naloge skeniranja od centralne poveljniške infrastrukture, izvaja obsežno omrežno sondiranje, zbira podatke o odzivih, kot so potrdila TLS in metapodatki storitev, ter poroča o ugotovitvah nazaj na odpremne strežnike.
Njegovo skeniranje je zelo prilagodljivo in prilagaja svoje delovanje glede na privilegije, ki so na voljo na okuženi napravi:
Ko je na voljo dostop do korenskih pravic, zlonamerna programska oprema odpre surove vtičnice in izvede hitro SYN skeniranje z uporabo posebej izdelanih TCP paketov.
Ko povišane pravice niso na voljo ali ko je potrebno spletno izvidovanje, se zanaša na standardne povezave TCP in TLS ter lahko uporablja tudi tehnike sondiranja, ki temeljijo na UDP in ICMP.
Ta prilagodljivost omogoča JDY, da poveča učinkovitost izvidovanja v širokem naboru ogroženih sistemov.
Stalna izvidniška zmogljivost za kitajske akterje grožnje
Raziskovalci verjamejo, da obveščevalni podatki, zbrani prek JDY, podpirajo operacije odkrivanja sredstev, delovne procese, usmerjene v ranljivosti, in platforme za nadaljnjo izkoriščanje ali orkestracijo napadov.
Botnet ponazarja, kako se sodobna omrežja interneta stvari in SOHO naprav vse bolj preoblikujejo v platforme za hitro odzivanje, ki so sposobne prepoznati ranljivo infrastrukturo kmalu po tem, ko varnostne pomanjkljivosti postanejo javne. Njegova nenehna rast kaže, da motnje v delovanju posameznih grozdov ali vozlišč ne odpravijo nujno osnovne zmogljivosti.
Preobrazba JDY iz podpornega elementa botneta KV v neodvisno, visokozmogljivo izvidniško platformo poudarja vztrajnost in prilagodljivost sodobnih ekosistemov kibernetskih groženj. Tudi po prizadevanjih za odstranitev se infrastruktura še naprej razvija in nasprotnikom zagotavlja uporabne obveščevalne podatke o ciljanju, pogosto v nekaj urah po razkritju nove ranljivosti.
