Исследователи сообщили, что ботнет, состоящий из скомпрометированных устройств малого офиса и Интернета вещей (IoT), превратился в крупную разведывательную сеть, способную быстро выявлять уязвимые системы, доступные из интернета, после публичного раскрытия информации об уязвимостях.
Ботнет, отслеживаемый Black Lotus Labs компании Lumen как JDY, теперь насчитывает более 1500 скомпрометированных устройств малого офиса и домашнего офиса (SOHO) и IoT и используется для «обнаружения, снятия отпечатков и непрерывного картирования открытых сервисов в масштабе».
Lumen заявила, что эта активность связана с спонсируемыми государством субъектами из Китая, включая Volt Typhoon. Эти данные указывают на растущую проблему для корпоративных служб безопасности. Многие корпоративные граничные системы остаются вне традиционного мониторинга конечных точек, что дает злоумышленникам возможность быстро перейти от раскрытия уязвимости к целенаправленной разведке.
Lumen добавила, что распределенная инфраструктура JDY также может помочь операторам обойти геоблокировку и другие средства защиты на основе IP-адресов, поскольку активность может исходить от легитимного трафика домашних или малых предприятий.
По словам Сакши Гровер, старшего менеджера по исследованиям в области кибербезопасности IDC Asia Pacific, JDY подрывает несколько защитных предположений, на которые по-прежнему полагаются многие предприятия.
Гровер отметила, что геоблокировка и контроль репутации IP-адресов имеют ограниченную ценность при использовании в изоляции, в то время как статические списки блокировки структурно слабы против ботнетов, которые постоянно ротируют скомпрометированную инфраструктуру. JDY также выявляет более широкий пробел в видимости в отношении граничных устройств, которые предприятиям часто трудно отслеживать с той же строгостью, что и конечные точки и облачные рабочие нагрузки.
Разведка приближается к атаке
Аналитики считают, что руководителям служб безопасности (CISO) не следует списывать JDY со счетов как очередной ботнет.
«Сообщаемая активность JDY демонстрирует явную направленность на обнаружение, снятие отпечатков и непрерывное картирование открытых сервисов в масштабе, в том числе вскоре после публичного раскрытия уязвимостей», — сказала Гровер. «Это указывает на более индустриализованную модель разведки перед эксплуатацией, когда скомпрометированные граничные устройства используются не просто для нарушения работы или злоупотребления товарами, а для получения своевременной целевой информации для последующих операций».
Это означает, что скомпрометированные устройства SOHO и IoT могут не быть конечной целью. Вместо этого они предоставляют уровень сканирования, используемый для выявления открытой корпоративной инфраструктуры, включая маршрутизаторы, межсетевые экраны, VPN, камеры и другие системы, доступные из интернета.
Девашри Датта, исследователь в области кибербезопасности, заявил, что CISO следует рассматривать JDY как свидетельство сдвига в методах операционализации разведки.
«Если JDY находится в вашем реестре рисков в разделе «рутинное управление ботнетами», ваш оборонительный план провалится еще до начала», — сказал Датта. «JDY не предназначен для DDoS-атак, кражи учетных данных или майнинга криптовалюты. Это централизованно управляемый, высокопроизводительный сканирующий движок».
Сроки установки исправлений находятся под давлением
Сканирующая активность также поднимает вопросы о том, остаются ли традиционные сроки управления уязвимостями работоспособными для периметральных систем, подверженных воздействию интернета.
«Традиционное исправление на основе SLA больше не является оправданным для периметральных устройств», — сказал Датта.
Размер ботнета имеет меньшее значение, чем скорость его цикла нацеливания, по словам Санчита Вира Гогоиа, главного аналитика Greyhound Research. «Пятнадцатьсот устройств, которые находят нужные уязвимые системы в течение нескольких часов, стоят больше, чем сто тысяч, генерирующих шум», — сказал Гогоиа. «Эксплуатация начинается не тогда, когда прибывает вредоносный код. Она начинается, когда обнаруживается уязвимость».
Обеспокоенность вызывает то, что JDY, возможно, уже собрал большую часть информации, необходимой злоумышленникам, до того, как будет раскрыта новая уязвимость. Датта отметил, что разведка ботнета может включать IP-адреса, конфигурации портов, информацию о протоколах, баннеры сервисов, версии TLS, метаданные сертификатов и связанные домены.
Это дает операторам фору, когда становится публичной критическая ошибка. Lumen сообщила, что Black Lotus Labs наблюдала избирательное увеличение сканирования оборудования Fortinet вскоре после раскрытия CVE-2026-35616, что указывает на способность и намерение выявлять уязвимые устройства до того, как исправления будут широко применены.
По словам Датты, для CISO ответ требует заранее утвержденных планов действий для периметральных устройств, включая ускоренное исправление, изменение списков контроля доступа, временное отключение открытых функций и блокировку интерфейсов управления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas
