يشهد عالم الأمن السيبراني عودة وتوسعاً لشبكة JDY الخفية، والتي يرتبط بناة البرامج الضارة فيها بدولة راعية من الصين. وتتكون هذه الشبكة من أكثر من 1500 جهاز من أجهزة المكاتب المنزلية الصغيرة (SOHO) وأجهزة إنترنت الأشياء (IoT)، وتعمل كأداة مسح مركزية عالية الأداء لاكتشاف الخدمات المكشوفة وتحديد خصائصها ورسم خرائط لها باستمرار على نطاق واسع.
تم رصد شبكة JDY لأول مرة كمجموعة ضمن شبكة برمجيات خبيثة أخرى تحمل الاسم الرمزي KV-botnet في منتصف ديسمبر 2023. وتُستخدم هذه الشبكة الخفية، التي تضم أجهزة توجيه ومفاتيح شبكة وأجهزة إنترنت الأشياء المخترقة، بشكل أساسي لإجراء مسوحات أوسع على أهداف عبر الإنترنت، وقد استغلها مجموعات القراصنة الصينية مثل Volt Typhoon.
توسع شبكة JDY وتأثيراتها على الأمن السيبراني
أظهرت النتائج الحديثة من مختبرات Black Lotus التابعة لشركة Lumen أن البرمجيات الخبيثة قد توسعت في نطاقها لتصيب مجموعة أوسع من الأجهزة، وتعمل كقناة لتزويد نظام مسح أكبر بـ “بيانات استطلاع منظمة” لتحديد الأهداف والاستغلال اللاحق.
بشكل خاص، تُستخدم مجموعة JDY لإجراء عمليات مسح مستهدفة وتحديد خصائص الخدمات، بهدف تحديد البنية التحتية الضعيفة بعد الكشف العلني عن الثغرات. وهذا يشير إلى جهد استطلاع صناعي، تستفيد من نتائجه مجموعات تهديدات سيبرانية مدعومة من دول.
نمو حجم الشبكة وتوزعها الجغرافي
تزامن ذلك مع زيادة في حجم الشبكة، حيث ارتفعت من 650 جهازاً مخترقاً في بداية يناير 2024 إلى أكثر من 1500 جهاز. يقع الجزء الأكبر من الأجهزة المخترقة في الولايات المتحدة والبرازيل، تليها أوروبا وآسيا.
وبينما كانت الشبكة في السابق تضم بشكل أساسي أجهزة توجيه Cisco RV320 و RV325، فإن التركيبة الحالية للشبكة أكثر تنوعاً، وتشمل أجهزة من Araknis و Mimosa Networks و Ubiquiti و Draytek و Hikvision و Linksys.
وبفضل العدد الكبير من أجهزة SOHO/IoT الموجودة في الولايات المتحدة، يتمكن مشغلو الشبكة من التهرب من الدفاعات وأدوات التحكم التقليدية المستندة إلى عنوان IP، مثل تحديد المواقع الجغرافية، والكشف المستند إلى سمعة IP، وقوائم الحظر الثابتة.
آلية عمل الشبكة وتحديات اكتشافها
من خلال توزيع نشاط المسح والاستطلاع عبر مجموعة واسعة من عناوين IP، يقلل المشغلون من احتمالية تصنيف أي عنوان IP واحد على أنه ماسح ضوئي وحظره. بالإضافة إلى ذلك، يساعد استخدام أجهزة SOHO و IoT المخترقة هذا النشاط على الاندماج مع حركة مرور المستخدمين الشرعية.
إن البنية الهندسية التي تشغل الشبكة يمكن وصفها بالطبقات. يستخدم المشغلون عقد Tor لإدارة البنية التحتية المصابة، بما في ذلك خوادم القيادة والتحكم (C2) وخوادم الحمولة. توجه خوادم C2 أجهزة الروبوتات لإجراء استطلاع مستهدف وتوصيف للنظام، بدلاً من المسح العشوائي. تُرسل نتائج المسح إلى خوادم مركزية لجمع المعلومات الاستخباراتية المستمرة، بهدف تعزيز أهداف الجهات الفاعلة الصينية.
تقوم سلاسل الهجوم باستغلال الثغرات المكتشفة حديثاً في الأجهزة الطرفية (مثل CVE-2026-35616) لتوصيل برنامج إسقاط نصي يتحقق مما إذا كانت البرمجيات الخبيثة نشطة بالفعل، وإذا لم يكن الأمر كذلك، فإنه يمضي قدماً في تنزيل الحمولة الأساسية بناءً على بنية المعالج المكتشفة (مثل mips، mips64، mipsel، أو mipsel64). بمجرد تشغيل البرمجيات الخبيثة، يتم حذفها من القرص.
تم تصميم البرمجيات الخبيثة التي تسهل المسح واستطلاع الأهداف لتحديد خصائص المضيف، وتلقي مهام المسح من خادم C2 مركزي، وتنفيذ عمليات استقصاء TCP و SSL و UDP و ICMP عالية الحجم، والتقاط الاستجابات (شهادات TLS، البيانات الوصفية، وما إلى ذلك)، وإبلاغ النتائج مرة أخرى إلى خادم الإرسال. الهدف هو إجراء استطلاع للبنية التحتية بدلاً من الاستغلال.
مرونة البرمجيات الخبيثة وقدرتها على التكيف
إحدى الوظائف الجديرة بالملاحظة للبرمجيات الخبيثة هي قدرتها على تكييف منهجية المسح بناءً على امتيازاتها على النظام المحلي. إذا كان بإمكانها فتح مقبس خام، وهو مؤشر على امتيازات الجذر، فإنها تبدأ مسح SYN عالي السرعة باستخدام حزم TCP مصممة خصيصاً. إذا لم تكن المقابس الخام متاحة أو إذا كانت المهمة عبارة عن مسح ويب، فإن محرك المسح يلجأ إلى استخدام اتصالات TCP و TLS القياسية أو يستخدم بروتوكولات مثل UDP و ICMP.
من المرجح أن تُفيد هذه الأنشطة اكتشاف الأصول، وخطوط أنابيب استهداف الثغرات، وأنظمة التنسيق اللاحقة للهجوم أو الاستغلال.
وتوضح شبكة JDY كيف تُستخدم شبكات الروبوتات IoT/SOHO والشبكات الخفية للأجهزة المخترقة للاستغلال السريع للثغرات. كما يوضح نمو JDY واستمرار عملها كيف تستمر شبكات الاستطلاع الحديثة في العمل على الرغم من عمليات الإنهاء والتكيف كقدرة دائمة ضمن نظام بيئي أوسع للخصوم.
يوضح تطور JDY من مكون داعم لـ KV-botnet إلى قدرة استطلاع مستقلة وعالية الأداء أن تعطيل العقد الفردية أو المجموعات لا يلغي القدرة الأساسية. تظل القدرة قائمة، وتتكيف، وتواصل تزويد الخصوم ببيانات استهداف في الوقت المناسب، غالباً في غضون ساعات من الكشف عن الثغرة الأمنية.