Una botnet collegata a uno stato cinese è cresciuta fino a 1.500 router compromessi e sta mappando obiettivi vulnerabili entro poche ore dalla divulgazione.

Una botnet collegata a uno stato cinese è cresciuta fino a 1.500 router compromessi e sta mappando obiettivi vulnerabili entro poche ore dalla divulgazione.

      TL;DRIl botnet JDY legato alla Cina è cresciuto da 650 a oltre 1.500 dispositivi SOHO compromessi. Scansiona nuove vulnerabilità in poche ore e fornisce dati di targeting agli hacker statali. Un botnet segreto legato a hacker sponsorizzati dallo stato cinese è più che raddoppiato in dimensioni e ora scansiona per vulnerabilità recentemente divulgate entro poche ore dalla pubblicazione. Il botnet JDY comprende oltre 1.500 router, firewall e dispositivi IoT compromessi per piccoli uffici e uffici domestici, secondo una nuova ricerca dei Black Lotus Labs di Lumen. La maggior parte dei nodi infetti si trova negli Stati Uniti e in Brasile. JDY è stato identificato per la prima volta a dicembre 2023 come un cluster all'interno del KV-botnet, una rete utilizzata dal gruppo di hacking cinese Volt Typhoon. L'FBI ha smantellato il KV-botnet all'inizio del 2024. Ma JDY è sopravvissuto, si è adattato ed è evoluto in ciò che i Black Lotus Labs descrivono come una capacità di ricognizione indipendente e ad alte prestazioni. Il botnet non attacca direttamente i bersagli. Scansiona, identifica e mappa i servizi esposti su larga scala, quindi fornisce i risultati ai gruppi statali cinesi per sfruttamenti successivi. I Black Lotus Labs lo definiscono uno "sforzo di ricognizione industrializzato". I dati fluiscono verso server centrali per la raccolta continua di informazioni. Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! La velocità è notevole. Le catene di attacco sfruttano vulnerabilità recentemente divulgate nei dispositivi edge per compromettere i router e aggiungerli alla rete. Una volta infettati, i bot eseguono probing TCP, SSL, UDP e ICMP ad alto volume. Catturano certificati TLS e metadati dei servizi, quindi riportano ai server di invio. L'obiettivo è la mappatura dell'infrastruttura, non lo sfruttamento. Il botnet è cresciuto da 650 dispositivi a gennaio 2024 a oltre 1.500 oggi. Anche la diversità dei dispositivi è aumentata. Dove in precedenza mirava ai router Cisco RV320 e RV325, ora compromette dispositivi di Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision e Linksys. Questa diversità è deliberata. Distribuendo la scansione su un'ampia gamma di indirizzi IP, gli operatori evitano che un singolo IP venga segnalato e bloccato. Utilizzare dispositivi SOHO e IoT compromessi aiuta il traffico a mescolarsi con l'attività degli utenti legittimi. I dispositivi basati negli Stati Uniti consentono anche agli operatori di eludere il geofencing e i controlli sulla reputazione degli IP. L'architettura è stratificata. Gli operatori gestiscono l'infrastruttura infetta attraverso nodi Tor, inclusi server di comando e controllo e server di payload. Il malware adatta il suo metodo di scansione in base ai privilegi sul dispositivo compromesso. L'accesso root attiva la scansione SYN ad alta velocità con pacchetti personalizzati. Senza root, torna a connessioni TCP e TLS standard. "La disattivazione di singoli nodi o cluster non elimina la capacità sottostante," hanno affermato i Black Lotus Labs. "La capacità persiste, si adatta e continua a fornire agli avversari dati di targeting tempestivi, spesso entro poche ore dalla divulgazione della vulnerabilità." Le campagne di hacking statali cinesi hanno una lunga storia di attacchi all'infrastruttura degli Stati Uniti, e il botnet JDY dimostra che l'apparato di ricognizione dietro di esse sta diventando più resistente, non meno. Per i difensori, il messaggio è chiaro. Riparare rapidamente i dispositivi edge non è più facoltativo. I router e l'hardware IoT che hanno raggiunto la fine della vita utile sono obiettivi privilegiati. E le difese tradizionali basate su IP sono inefficaci quando il traffico di scansione proviene da migliaia di IP residenziali dall'aspetto legittimo in tutto il paese.

Altri articoli

Ora puoi acquistare il Kindle Scribe più conveniente su Amazon. Ora puoi acquistare il Kindle Scribe più conveniente su Amazon. Il Kindle Scribe più conveniente è finalmente in vendita a $429,99, e Amazon ha anche lanciato la nuova funzione di lettura Story So Far AI su tutti i Kindle moderni. Una botnet collegata allo stato cinese è cresciuta fino a 1.500 router compromessi e sta mappando obiettivi vulnerabili entro poche ore dalla divulgazione. Una botnet collegata allo stato cinese è cresciuta fino a 1.500 router compromessi e sta mappando obiettivi vulnerabili entro poche ore dalla divulgazione. Il botnet JDY, collegato al Typhoon di Volt della Cina, è raddoppiato in dimensioni e ora cerca vulnerabilità recentemente divulgate in poche ore. La maggior parte dei nodi si trova negli Stati Uniti. Karp di Palantir dice che Sanders si pentirà di aver chiesto solo il 50% delle aziende di intelligenza artificiale. La nazionalizzazione completa sta arrivando. Karp di Palantir dice che Sanders si pentirà di aver chiesto solo il 50% delle aziende di intelligenza artificiale. La nazionalizzazione completa sta arrivando. Il CEO di Palantir, Alex Karp, ha detto a CNBC che la nazionalizzazione completa dell'IA diventerà la posizione principale della sinistra entro due anni. Trump e Sanders sono già d'accordo sul 50%. Karp di Palantir afferma che Sanders si pentirà di aver chiesto solo il 50% delle aziende di intelligenza artificiale. La nazionalizzazione completa è in arrivo. Karp di Palantir afferma che Sanders si pentirà di aver chiesto solo il 50% delle aziende di intelligenza artificiale. La nazionalizzazione completa è in arrivo. Il CEO di Palantir, Alex Karp, ha detto a CNBC che la nazionalizzazione completa dell'IA diventerà la posizione principale della sinistra entro due anni. Trump e Sanders sono già d'accordo sul 50%. ChatGPT sta raccomandando siti web truffa che ruberanno le informazioni della tua carta di credito. ChatGPT sta raccomandando siti web truffa che ruberanno le informazioni della tua carta di credito. ChatGPT sta facendo emergere cloni fraudolenti di siti web di vendita al dettaglio non più attivi quando gli utenti chiedono raccomandazioni sui prodotti, secondo il servizio di controllo delle frodi Ask Silver. I negozi falsi sono progettati per rubare informazioni di pagamento. Perché i dispositivi di benessere personalizzati stanno superando le soluzioni universali Perché i dispositivi di benessere personalizzati stanno superando le soluzioni universali Dai tracker di fitness alla tecnologia sensoriale, una categoria in crescita di dispositivi sta esplorando come la guida personalizzata possa integrarsi nelle routine di benessere quotidiane. Un decennio fa, la maggior parte dei prodotti per il benessere chiedeva alle persone di seguire la stessa routine. Scarica l'app, segui il piano e spera che funzioni. Video consigliati Quel approccio rifletteva come molti aspetti della salute e del benessere […]

Una botnet collegata a uno stato cinese è cresciuta fino a 1.500 router compromessi e sta mappando obiettivi vulnerabili entro poche ore dalla divulgazione.

Il botnet JDY, collegato al Volt Typhoon della Cina, è raddoppiato di dimensioni e ora cerca vulnerabilità recentemente divulgate in poche ore. La maggior parte dei nodi si trova negli Stati Uniti.