JDY, un immense botnet déployé par des pirates chinois, continue de prendre de l’ampleur. Identifié par les chercheurs de Black Lotus Labs, JDY n’est pas un botnet traditionnel, taillé pour paralyser des systèmes ou lancer des attaques en déni de service à la pelle. Le botnet est plutôt conçu pour mener des opérations d’espionnage. Selon les investigations menées par Black Lotus Labs, JDY est programmé pour scanner, identifier et cartographier les réseaux exposés, puis transmettre ces précieux renseignements aux hackers chinois. Ces informations peuvent ensuite être exploitées dans le cadre de cyberattaques ultérieures. Pour les chercheurs, JDY est un « effort de reconnaissance industrialisé » déployé par la Chine.
À lire aussi : 17 millions de PC, tablettes et smartphones piratés – un monstrueux botnet a été démantelé aux Pays-Bas
Un botnet en quête de systèmes vulnérables
Une fois infectés par BYD, les appareils ne tardent pas à envoyer automatiquement des milliers de requêtes vers des systèmes connectés à Internet. Ces requêtes permettent de recueillir des informations et des métadonnées sur les systèmes. Ces données sont collectées puis transmises à un serveur central qui les agrège et les analyse. Intégré au botnet, un module est chargé de distribuer les tâches entre les différents appareils qui composent le réseau zombie. Toute l’opération est réglée comme du papier à musique.
Le réseau d’appareils compromis cherche notamment à obtenir des informations sur des entités militaires américaines et leurs différents partenaires. Parmi les adresses IP scannées par JDY, « la majorité appartient à des réseaux détenus par l’armée américaine et ses entités associées ».
Le botnet se révèle particulièrement actif dès qu’une nouvelle faille de sécurité est rendue publique. Quand une vulnérabilité est divulguée, JDY va scrupuleusement scanner Internet à la recherche de systèmes vulnérables, qui pourraient servir de point de départ à une cyberattaque. Le botnet se concentre « sur l’identification des infrastructures vulnérables peu après les divulgations publiques de failles, ce qui suggère que les résultats de la reconnaissance sont rapidement » exploités par des hackers chinois. Il ne faut que quelques heures à des hackers chinois pour tenter d’exploiter une faille qui vient d’être rendue publique.
Un botnet en pleine croissance
Selon l’enquête menée par les chercheurs, le réseau JDY se distingue par sa croissance. En janvier 2024, JDY ne comptait encore qu’environ 650 bots actifs. Aujourd’hui, ce chiffre dépasse les 1 500 appareils compromis, soit plus du double en moins d’un an et demi. Le botnet vise surtout des routeurs, des pare-feux et des objets connectés installés chez des particuliers ou de petites entreprises aux États-Unis et au Brésil.
Au cours de sa propagation, JDY s’est également mis à cibler de plus en plus d’appareils différents. Si JDY visait initialement et exclusivement les routeurs Cisco RV320 et RV325, il infecte désormais des équipements de marques très variées : Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision et Linksys. En répartissant les scanners à travers des milliers d’adresses IP différentes, les pirates évitent qu’une seule adresse soit signalée et bloquée par les systèmes de défense.
À lire aussi : Ce botnet russe se croyait indestructible, mais il vient d’être détruit
L’héritage de KV-botnet
Comme l’explique le Black Lotus Labs, JDY repose en grande partie sur un botnet plus ancien, KV-botnet. Exploité par le célèbre groupe de hackers chinois Volt Typhoon, le réseau avait été démantelé par le FBI au début de l’année 2024. C’est sur les cendres de KV-botnet que JDY a vu le jour. Selon les chercheurs, JDY faisait partie du réseau KV-botnet et a survécu à sa destruction.
Face à la menace du botnet chinois, les chercheurs recommandent de mettre à jour régulièrement les équipements réseau (routeurs, pare-feux, caméras IP). En effet, les appareils en fin de vie ou obsolètes représentent les portes d’entrée préférées du botnet. Il est aussi conseillé de désactiver les interfaces d’administration exposées sur Internet lorsqu’elles ne sont pas indispensables, changer les identifiants par défaut et surveiller tout trafic sortant anormal depuis les équipements périphériques
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Black Lotus Labs
