Το JDY botnet, ένα εξελιγμένο δίκτυο κακόβουλου λογισμικού που συνδέεται με Κινέζους παράγοντες που δραστηριοποιούνται στον τομέα των κυβερνοεπιθέσεων, έχει επεκτείνει την εστίαση και τις στρατηγικές αναγνώρισης των στοχοθετημένων. Αυτές οι εξελίξεις ενδέχεται να έχουν σοβαρές επιπτώσεις για κρίσιμες υποδομές, ειδικά στις Ηνωμένες Πολιτείες, καθώς το JDY στρέφεται προς στρατιωτικά δίκτυα και κυβερνητικές υπηρεσίες.
Σύμφωνα με μελέτη του Black Lotus Labs by Lumen, το JDY έχει ανέβει από περίπου 650 ενεργά bots τον Ιανουάριο του 2024 σε περισσότερες από 1.500 παραβιασμένες συσκευές, συμπεριλαμβανομένων συσκευών SOHO (Small Office/Home Office) και Internet of Things (IoT). Αυτή η αύξηση δεν είναι απλώς ποσοτική, αλλά και ποιοτική, με το δίκτυο να στοχεύει πλέον σε κρίσιμες υποδομές.
Αν και οι αριθμοί μπορεί να φαίνονται χαμηλοί σε σύγκριση με άλλα κακόβουλα δίκτυα, το JDY δεν λειτουργεί ως κλασικό botnet DDoS, αλλά περισσότερο ως εργαλείο σάρωσης και αναγνώρισης που βοηθά τους χειριστές του να εντοπίσουν ευάλωτα σημεία στα δίκτυα. Αυτή η στρατηγική ενδυναμώνει τους κυβερνοεγκληματίες, επιτρέποντάς τους να δράσουν γρήγορα μόλις αποκαλυφθούν ευπάθειες.
Η έκθεση του Black Lotus Labs υπογραμμίζει ότι η δραστηριότητα αυτή δείχνει προσπάθειες κατάκτησης ευάλωτων υποδομών, ειδικά μετά από δημοσιοποιήσεις ευπαθειών, κάτι που μπορεί να δημιουργήσει επικίνδυνες συνέπειες.
Ο στρατός των ΗΠΑ και σχετικές υπηρεσίες φαίνεται να είναι από τους κύριους στόχους αυτού του δικτύου, που επιβεβαιώνει την αυξανόμενη ανησυχία για τις κυβερνοαπειλές που προέρχονται από οργανωμένες ομάδες, όπως το Volt Typhoon και άλλες.
Πηγή: Black Lotus Labs
Η CISA (Αμερικανική Υπηρεσία Κυβερνοασφάλειας και Υποδομών) έχει εκδώσει προειδοποιήσεις σχετικά με την επικινδυνότητα των επιθέσεων που προέρχονται από ομάδα όπως το Volt Typhoon, παροτρύνοντας τους παρόχους υπηρεσιών δικτύου να προχωρήσουν σε αναβάθμιση για την αποφυγή εκμετάλλευσης των ευπαθειών στις διεπαφές διαχείρισης ιστού.
Το JDY botnet έχει σχεδιαστεί ειδικά για να εκτελεί ανακαλύψεις υπηρεσιών, να πραγματοποιεί αναγνωρίσεις και να συλλέγει δεδομένα από συσκευές, όπως τα πιστοποιητικά TLS. Είναι σημαντικό να σημειωθεί πως οι στοχευόμενες συσκευές περιλαμβάνουν μεγάλες εταιρείες του χώρου, όπως οι Cisco, Ubiquiti και Hikvision.
Οι ερευνητές έχουν παρατηρήσει συγκεκριμένες επιθέσεις με σκοπό την εκμετάλλευση του CVE-2026-35616, λίγο αφότου δημοσιοποιήθηκε το σχετικό ελάττωμα, δείχνοντας την ταχύτητα με την οποία δρουν οι επιτιθέμενοι.
Πηγή: Black Lotus Labs
Η καθοδήγηση των χειριστών του JDY για τη διαχείριση του botnet πραγματοποιείται μέσω κρυφών υπηρεσιών Tor, όπου και οι δύο υπηρεσίες εντολών και ελέγχου (C2) είναι εγκατεστημένες. Σημειώνεται ότι χρησιμοποιούνται και ανοιχτού κώδικα πλαίσια, όπως το Platypus, για την αναγνώριση και αντιστροφή.
Πηγή: Black Lotus Labs
Η κακόβουλη εκπαίδευση αποθηκεύει δεδομένα σε μια κεντρική “Υπηρεσία Κατανομής” και ο χειριστής εκχωρεί συγκεκριμένες εργασίες σάρωσης. Οι επαναλαμβανόμενοι κύκλοι λήψης αποτελεσμάτων προς πίσω στο C2 είναι καίριοι για την αποστολή των πληροφοριών.
Οι σάρωθρες JDY υποστηρίζουν μεγάλο φάσμα λειτουργιών:
- Σάρωση TCP
- Σάρωση SSL/TLS
- Σάρωση UDP
- Ανίχνευση ICMP
- Συλλογή πανό υπηρεσιών
- Συγκομιδή πιστοποιητικών TLS
- Υπηρεσία δακτυλικών αποτυπωμάτων με δυνατότητα λήψης συνόλων κανόνων
Ο κύκλος εκτέλεσης επαναλαμβάνεται ασταμάτητα, εκτός και αν διαταχθεί η παύση της λειτουργίας. Η σάρωση TCP κρίνεται σημαντική, καθώς όταν το JDY κατέχει επαρκή προνόμια, μπορεί να εκτελεί σάρωση SYN σε πολύ μεγαλύτερες ταχύτητες, χωρίς να εντοπίζεται.
“Εάν το κακόβουλο λογισμικό αποκτήσει πρόσβαση σε ακατέργαστη υποδοχή, απαιτεί γενικά δικαιώματα διαχειριστή και τότε θα εκκινήσει σάρωση υψηλής ταχύτητας χρησιμοποιώντας προσαρμοσμένα TCP πακέτα”, αναφέρει η έκθεση.
“Αυτά τα προσαρμοσμένα πακέτα αφήνουν μια αναγνωρίσιμη υπογραφή και ενδέχεται να ανταγωνίζονται τα τυποποιημένα ελέγχου ποιότητας σε ταχύτητες που ξεπερνούν αυτές της τυπικής σάρωσης.”
Πηγή: Black Lotus Labs
Καθώς η δραστηριότητα του JDY botnet προχωρά, οι οργανισμοί καλούνται να διασφαλίσουν ότι οι συσκευές τους εκτελούν τις τελευταίες ενημερώσεις ασφαλείας. Η συμμόρφωση με τις καλές πρακτικές αναγνώρισης και η μείωση της επιφάνειας επίθεσης είναι επιτακτική ανάγκη για την αποφυγή στρατολόγησης από τέτοιες ομάδες.
Επιπλέον, η απενεργοποίηση περιττών διαχειριστικών διεπαφών και η παρακολούθηση για ασυνήθιστη δραστηριότητα σάρωσης είναι ζωτικής σημασίας για την επόμενη στρατηγική αμυντικής συμμόρφωσης.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.
