Китайская ботнет, связанная с государством, выросла до 1,500 взломанных маршрутизаторов и картирует уязвимые цели в течение нескольких часов после раскрытия.

      TL;DRСвязанный с Китаем ботнет JDY вырос с 650 до более чем 1500 взломанных SOHO-устройств. Он сканирует новые уязвимости в течение нескольких часов и передает данные для нацеливания государственным хакерам.

      Скрытый ботнет, связанный с государственными хакерами Китая, более чем удвоился в размере и теперь сканирует новые раскрытые уязвимости в течение нескольких часов после публикации. Ботнет JDY состоит из более чем 1500 скомпрометированных маршрутизаторов, межсетевых экранов и IoT-устройств для малых офисов и домашних офисов, согласно новым исследованиям лаборатории Black Lotus компании Lumen. Большинство зараженных узлов находятся в Соединенных Штатах и Бразилии.

      JDY был впервые идентифицирован в декабре 2023 года как кластер в рамках KV-ботнета, сети, используемой китайской хакерской группой Volt Typhoon. ФБР ликвидировало KV-ботнет в начале 2024 года. Но JDY выжил, адаптировался и с тех пор эволюционировал в то, что лаборатория Black Lotus описывает как независимую высокопроизводительную разведывательную способность.

      Ботнет не атакует цели напрямую. Он сканирует, создает отпечатки и картирует открытые сервисы в больших масштабах, а затем передает результаты китайским государственным группам для последующей эксплуатации. Лаборатория Black Lotus называет это «индустриализированным разведывательным усилием». Данные поступают на центральные серверы для постоянного сбора разведывательной информации.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Скорость заметна. Цепочки атак используют новые раскрытые уязвимости в крайних устройствах для компрометации маршрутизаторов и добавления их в сеть. После заражения боты выполняют высокообъемное TCP, SSL, UDP и ICMP-пробирование. Они захватывают TLS-сертификаты и метаданные сервисов, а затем сообщают обратно на серверы диспетчеризации. Цель — картирование инфраструктуры, а не эксплуатация.

      Ботнет вырос с 650 устройств в январе 2024 года до более чем 1500 сегодня. Его разнообразие устройств также увеличилось. Если ранее он нацеливался на маршрутизаторы Cisco RV320 и RV325, то теперь он компрометирует устройства от Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision и Linksys.

      Это разнообразие является преднамеренным. Распределяя сканирование по широкому диапазону IP-адресов, операторы избегают того, чтобы какой-либо отдельный IP был помечен и заблокирован. Использование скомпрометированных SOHO и IoT-устройств помогает трафику сливаться с законной пользовательской активностью. Устройства, расположенные в США, также позволяют операторам избегать геозон и контроля репутации IP.

      Архитектура многослойная. Операторы управляют зараженной инфраструктурой через узлы Tor, включая как серверы командования и управления, так и серверы полезной нагрузки. Вредоносное ПО адаптирует свой метод сканирования в зависимости от своих привилегий на скомпрометированном устройстве. Доступ к root-требует высокоскоростного SYN-сканирования с пользовательскими пакетами. Без root-доступа оно возвращается к стандартным TCP и TLS-соединениям.

      «Дисфункция отдельных узлов или кластеров не устраняет основную способность», — заявила лаборатория Black Lotus. «Эта способность сохраняется, адаптируется и продолжает предоставлять противникам своевременные данные для нацеливания, часто в течение нескольких часов после раскрытия уязвимости». Государственные хакерские кампании Китая имеют долгую историю нацеливания на инфраструктуру США, и ботнет JDY показывает, что разведывательный аппарат за ними становится более устойчивым, а не менее.

      Для защитников сообщение ясно. Быстрое исправление крайних устройств больше не является опциональным. Маршрутизаторы и IoT-аппаратное обеспечение, которые достигли конца своего жизненного цикла, являются первоочередными целями. А традиционные IP-основанные защиты неэффективны, когда сканирующий трафик исходит от тысяч легитимно выглядящих жилых IP по всей стране.