Китайская государственная ботнет-сеть увеличилась до 1,500 взломанных маршрутизаторов и картирует уязвимые цели в течение нескольких часов после раскрытия.

      TL;DRСвязанный с Китаем ботнет JDY вырос с 650 до более чем 1500 взломанных устройств SOHO. Он сканирует новые уязвимости в течение нескольких часов и передает данные о целевых атаках государственным хакерам.

      Скрытый ботнет, связанный с хакерами, поддерживаемыми китайским государством, более чем удвоился в размере и теперь сканирует новые раскрытые уязвимости в течение нескольких часов после публикации. Ботнет JDY состоит из более чем 1500 скомпрометированных маршрутизаторов, межсетевых экранов и IoT-устройств для малых офисов и домашних офисов, согласно новым исследованиям лаборатории Black Lotus компании Lumen. Большинство зараженных узлов находятся в Соединенных Штатах и Бразилии.

      JDY был впервые идентифицирован в декабре 2023 года как кластер в рамках KV-ботнета, сети, используемой китайской хакерской группой Volt Typhoon. ФБР ликвидировало KV-ботнет в начале 2024 года. Но JDY выжил, адаптировался и с тех пор эволюционировал в то, что лаборатория Black Lotus описывает как независимую высокопроизводительную разведывательную способность.

      Ботнет не атакует цели напрямую. Он сканирует, создает отпечатки и картирует открытые сервисы в большом масштабе, а затем передает результаты китайским государственным группам для последующей эксплуатации. Лаборатория Black Lotus называет это «индустриализированным разведывательным усилием». Данные поступают на центральные серверы для постоянного сбора разведывательной информации.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и некоторые сомнительные AI-арты. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Скорость заметна. Цепочки атак используют недавно раскрытые уязвимости в крайних устройствах для компрометации маршрутизаторов и добавления их в сеть. После заражения боты выполняют высокообъемное TCP, SSL, UDP и ICMP-пробирование. Они захватывают TLS-сертификаты и метаданные сервисов, а затем сообщают обратно на серверы диспетчеров. Целью является картирование инфраструктуры, а не эксплуатация.

      Ботнет вырос с 650 устройств в январе 2024 года до более чем 1500 сегодня. Его разнообразие устройств также увеличилось. Если ранее он нацеливался на маршрутизаторы Cisco RV320 и RV325, то теперь он компрометирует устройства от Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision и Linksys.

      Это разнообразие является преднамеренным. Распределяя сканирование по широкому диапазону IP-адресов, операторы избегают того, чтобы какой-либо отдельный IP был отмечен и заблокирован. Использование скомпрометированных SOHO и IoT-устройств помогает трафику сливаться с законной пользовательской активностью. Устройства, расположенные в США, также позволяют операторам избегать геозон и контроля репутации IP.

      Архитектура многослойная. Операторы управляют зараженной инфраструктурой через узлы Tor, включая как серверы командования и управления, так и серверы полезной нагрузки. Вредоносное ПО адаптирует свой метод сканирования в зависимости от своих привилегий на скомпрометированном устройстве. Доступ к root вызывает высокоскоростное SYN-сканирование с пользовательскими пакетами. Без root оно возвращается к стандартным TCP и TLS-соединениям.

      «Нарушение работы отдельных узлов или кластеров не устраняет основную способность», — заявила лаборатория Black Lotus. «Эта способность сохраняется, адаптируется и продолжает предоставлять противникам своевременные данные о целевых атаках, часто в течение нескольких часов после раскрытия уязвимости». Кампании китайских государственных хакеров имеют долгую историю нацеливания на инфраструктуру США, и ботнет JDY показывает, что разведывательный аппарат за ними становится более устойчивым, а не менее.

      Для защитников сообщение ясно. Быстрое исправление уязвимостей крайних устройств больше не является опциональным. Маршрутизаторы и оборудование IoT, которые достигли конца своего жизненного цикла, являются первоочередными целями. А традиционные IP-основанные защиты неэффективны, когда сканирующий трафик исходит от тысяч легитимно выглядящих жилых IP по всей стране.