บอทเน็ต JDY
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงการกลับมาและการขยายตัวอย่างมีนัยสำคัญของ JDY ซึ่งเป็นเครือข่ายลับที่เชื่อมโยงกับกลุ่มผู้คุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน JDY ถูกตรวจพบครั้งแรกในเดือนธันวาคม 2023 ในฐานะกลุ่มย่อยภายในโครงสร้างพื้นฐานของบอทเน็ต KV ที่ใหญ่กว่า แต่ปัจจุบันได้พัฒนาไปเป็นแพลตฟอร์มสอดแนมอิสระที่มีประสิทธิภาพสูง
เครือข่ายนี้ประกอบด้วยอุปกรณ์ Small Office/Home Office (SOHO) และ Internet of Things (IoT) ที่ถูกบุกรุกมากกว่า 1,500 เครื่อง แทนที่จะใช้เพื่อโจมตีโดยตรงเป็นหลัก JDY ทำหน้าที่เป็นระบบสแกนประสิทธิภาพสูงที่จัดการจากส่วนกลาง ซึ่งสามารถค้นหา ระบุลักษณะเฉพาะ และสร้างแผนที่บริการที่เปิดเผยต่ออินเทอร์เน็ตอย่างต่อเนื่องในวงกว้าง
กลุ่มผู้คุกคามชาวจีน รวมถึงกลุ่ม Volt Typhoon เคยใช้เครือข่ายนี้เพื่อสนับสนุนการรวบรวมข้อมูลข่าวกรองและการระบุเป้าหมายมาก่อน
สารบัญ
การปรับตัวหลังจากการปราบปรามบอทเน็ต KV
หลังจากที่รัฐบาลสหรัฐฯ ทำลายบอทเน็ต KV ในช่วงต้นปี 2024 ผู้ดำเนินการ JDY ได้ปรับเปลี่ยนพฤติกรรมการปฏิบัติงานของตน ในขณะที่คลัสเตอร์ KV รองได้หายไปเกือบหมด แต่ JDY ยังคงพัฒนาและขยายตัวต่อไป นักวิจัยเชื่อว่าโครงสร้างพื้นฐานอาจถูกใช้ร่วมกับกลุ่มแฮ็กเกอร์ชาวจีนหลายกลุ่ม ในขณะเดียวกันก็ถูกใช้โดยตรงโดยผู้ดำเนินการเพื่อกิจกรรมสอดแนมด้วย
การตรวจสอบล่าสุดเผยให้เห็นว่ามัลแวร์ดังกล่าวได้กำหนดเป้าหมายไปยังอุปกรณ์ที่หลากหลายมากขึ้น และทำหน้าที่เป็นชั้นรวบรวมข้อมูลภายในระบบการสแกนที่ใหญ่กว่า ข้อมูลการสอดแนมที่มีโครงสร้างซึ่งรวบรวมโดย JDY จะถูกป้อนเข้าสู่ระบบที่อำนวยความสะดวกในการเลือกเป้าหมายและกิจกรรมการโจมตีในภายหลัง
สิ่งที่น่ากังวลเป็นพิเศษคือบทบาทของ JDY ในการระบุระบบที่เปราะบางได้อย่างรวดเร็วหลังจากมีการเปิดเผยช่องโหว่สู่สาธารณะ พฤติกรรมนี้ชี้ให้เห็นถึงการปฏิบัติการสอดแนมที่มีการจัดระเบียบอย่างดี ซึ่งผลการค้นพบจะถูกนำไปใช้โดยกลุ่มผู้มีอำนาจระดับรัฐบาลจีนในภายหลัง
การเติบโตอย่างรวดเร็วและการขยายตัวไปทั่วโลก
บอทเน็ตดังกล่าวมีการเติบโตอย่างมาก โดยเพิ่มขึ้นจากอุปกรณ์ที่ติดเชื้อประมาณ 650 เครื่องในเดือนมกราคม 2024 เป็นมากกว่า 1,500 ระบบที่ถูกบุกรุก โหนดที่ติดเชื้อส่วนใหญ่อยู่ในสหรัฐอเมริกาและบราซิล และมีกระจายอยู่บ้างในยุโรปและเอเชีย จำนวนอุปกรณ์จากบราซิลที่เพิ่มขึ้นสะท้อนให้เห็นถึงแนวโน้มที่กว้างขึ้นซึ่งบอทเน็ตพึ่งพาระบบที่ถูกบุกรุกในบราซิลมากขึ้นเรื่อยๆ
ระบบนิเวศของอุปกรณ์ JDY ก็มีความหลากหลายมากขึ้นอย่างเห็นได้ชัด ในขณะที่เวอร์ชันก่อนหน้านี้ส่วนใหญ่ใช้เราเตอร์ Cisco RV320 และ RV325 เครือข่ายปัจจุบันประกอบด้วยฮาร์ดแวร์จากผู้ผลิตหลายราย:
- ซิสโก้
- อาราคนิส
- เครือข่ายมิโมซ่า
- ยูบิควิตี้
ความหลากหลายนี้ช่วยเสริมสร้างความยืดหยุ่นของเครือข่ายและขยายขอบเขตการดำเนินงานให้กว้างขึ้น
การกลมกลืนเข้ากับการรับส่งข้อมูลทางอินเทอร์เน็ตที่ถูกต้องตามกฎหมาย
โครงสร้างพื้นฐานส่วนสำคัญของ JDY ประกอบด้วยอุปกรณ์ SOHO และ IoT ที่ตั้งอยู่ในสหรัฐอเมริกา การกระจายตัวนี้ช่วยให้ผู้ให้บริการสามารถหลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมหลายอย่าง รวมถึงข้อจำกัดด้านการกำหนดขอบเขตทางภูมิศาสตร์ การกรองชื่อเสียง IP และรายการบล็อกแบบคงที่
ด้วยการกระจายกิจกรรมสอดแนมไปทั่วที่อยู่ IP ที่ถูกบุกรุกนับพันแห่ง ผู้ดำเนินการจึงลดโอกาสที่ระบบใดระบบหนึ่งจะถูกระบุและบล็อกว่าเป็นแหล่งสแกน นอกจากนี้ การใช้อุปกรณ์ของผู้บริโภคและธุรกิจขนาดเล็กที่ถูกต้องตามกฎหมายยังช่วยให้การรับส่งข้อมูลที่เป็นอันตรายกลมกลืนกับกิจกรรมทางอินเทอร์เน็ตปกติได้อย่างเป็นธรรมชาติมากขึ้น ทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก
โครงสร้างพื้นฐานแบบหลายชั้นที่ออกแบบมาเพื่อการพรางตัว
JDY ทำงานผ่านสถาปัตยกรรมแบบหลายชั้นที่ซับซ้อน ผู้โจมตีใช้โหนด Tor ในการจัดการทั้งโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) และเซิร์ฟเวอร์ส่งเพย์โหลด ช่วยปกปิดกิจกรรมการปฏิบัติการ
แทนที่จะทำการสแกนอินเทอร์เน็ตแบบไม่เลือกเป้าหมาย เซิร์ฟเวอร์ C2 จะมอบหมายภารกิจสอดแนมและวิเคราะห์ข้อมูลเฉพาะเจาะจงให้กับอุปกรณ์ที่ติดไวรัส ข้อมูลที่รวบรวมได้จะถูกส่งกลับไปยังเซิร์ฟเวอร์ส่วนกลาง ซึ่งจะทำการรวบรวมและวิเคราะห์เพื่อสนับสนุนปฏิบัติการไซเบอร์และเป้าหมายเชิงกลยุทธ์ของจีนในวงกว้าง
การใช้ประโยชน์จากช่องโหว่ที่เพิ่งถูกเปิดเผย
ห่วงโซ่การโจมตีที่เกี่ยวข้องกับ JDY มักใช้ช่องโหว่ที่เพิ่งถูกเปิดเผยในอุปกรณ์ปลายทางเป็นอาวุธ รวมถึงช่องโหว่ต่างๆ เช่น CVE-2026-35616 การโจมตีที่สำเร็จจะกระตุ้นให้มีการส่งสคริปต์เชลล์เข้าไป ซึ่งจะตรวจสอบก่อนว่ามัลแวร์นั้นมีอยู่ในระบบเป้าหมายแล้วหรือไม่
หากตรวจไม่พบการติดเชื้อที่ใช้งานอยู่ โปรแกรมดรอปเปอร์จะดึงเพย์โหลดมัลแวร์ที่เหมาะสมตามสถาปัตยกรรมโปรเซสเซอร์ของเหยื่อ รวมถึงเวอร์ชันสำหรับระบบ MIPS, MIPS64, MIPSEL และ MIPSEL64 เมื่อทำงานเสร็จแล้ว มัลแวร์ที่ดาวน์โหลดมาจะลบตัวเองออกจากดิสก์เพื่อลดการตรวจสอบทางนิติวิทยาศาสตร์
ความสามารถในการลาดตระเวนขั้นสูงและการสแกนแบบปรับตัวได้
จุดประสงค์หลักของมัลแวร์นี้คือการรวบรวมข้อมูลข่าวสารมากกว่าการโจมตีโดยตรง เมื่อทำงานแล้ว มันจะสร้างลายนิ้วมือให้กับโฮสต์ที่ถูกโจมตี รับมอบหมายงานสแกนจากโครงสร้างพื้นฐานคำสั่งส่วนกลาง ดำเนินการตรวจสอบเครือข่ายขนาดใหญ่ รวบรวมข้อมูลตอบสนอง เช่น ใบรับรอง TLS และข้อมูลเมตาของบริการ และรายงานผลการค้นหากลับไปยังเซิร์ฟเวอร์ควบคุม
ระบบการสแกนของมันมีความสามารถในการปรับตัวสูง และจะปรับพฤติกรรมตามสิทธิ์ที่มีอยู่ในอุปกรณ์ที่ติดไวรัส:
เมื่อสามารถเข้าถึงระดับรากได้ มัลแวร์จะเปิดซ็อกเก็ตดิบและทำการสแกน SYN ความเร็วสูงโดยใช้แพ็กเก็ต TCP ที่สร้างขึ้นเป็นพิเศษ
ในกรณีที่ไม่มีสิทธิ์ระดับสูง หรือเมื่อจำเป็นต้องทำการสอดแนมผ่านเว็บ ระบบจะใช้การเชื่อมต่อ TCP และ TLS มาตรฐาน และยังสามารถใช้เทคนิคการตรวจสอบโดยใช้ UDP และ ICMP ได้อีกด้วย
ความยืดหยุ่นนี้ช่วยให้ JDY สามารถเพิ่มประสิทธิภาพการสอดแนมให้สูงสุดในระบบที่ถูกบุกรุกหลากหลายประเภท
ความสามารถในการสอดแนมอย่างต่อเนื่องสำหรับผู้ก่อภัยคุกคามชาวจีน
นักวิจัยเชื่อว่าข้อมูลข่าวกรองที่รวบรวมได้ผ่าน JDY สนับสนุนการปฏิบัติการค้นหาทรัพย์สิน กระบวนการทำงานที่มุ่งเป้าไปที่ช่องโหว่ และแพลตฟอร์มการโจมตีหรือการประสานงานในขั้นตอนต่อไป
บอทเน็ตนี้แสดงให้เห็นว่าเครือข่ายอุปกรณ์ IoT และ SOHO สมัยใหม่กำลังถูกเปลี่ยนไปเป็นแพลตฟอร์มสอดแนมที่ตอบสนองอย่างรวดเร็ว ซึ่งสามารถระบุโครงสร้างพื้นฐานที่เปราะบางได้ในเวลาไม่นานหลังจากที่ช่องโหว่ด้านความปลอดภัยถูกเปิดเผย การเติบโตอย่างต่อเนื่องของบอทเน็ตนี้แสดงให้เห็นว่าการทำลายคลัสเตอร์หรือโหนดแต่ละส่วนไม่ได้หมายความว่าจะกำจัดความสามารถพื้นฐานได้เสมอไป
การเปลี่ยนแปลงของ JDY จากองค์ประกอบสนับสนุนของบอทเน็ต KV ไปสู่แพลตฟอร์มสอดแนมอิสระประสิทธิภาพสูง แสดงให้เห็นถึงความคงทนและความสามารถในการปรับตัวของระบบนิเวศภัยคุกคามทางไซเบอร์สมัยใหม่ แม้หลังจากความพยายามในการกำจัดแล้ว โครงสร้างพื้นฐานก็ยังคงพัฒนาต่อไป ทำให้ฝ่ายตรงข้ามได้รับข้อมูลข่าวกรองเป้าหมายที่นำไปใช้ได้จริง ซึ่งมักเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากมีการเปิดเผยช่องโหว่ใหม่
