Китайских хакеров обвинили в кибератаках на военные ведомства США

изображение: grok
Китайские хакеры через ботнет JDY ведут масштабную разведку против военных сетей США и оборонных подрядчиков. Сеть заражённых устройств за два года выросла более чем в два раза и сейчас насчитывает свыше 1500 активных узлов, нацеленных в первую очередь на американскую инфраструктуру. Заражённые роутеры и камеры круглосуточно сканируют военные и государственные системы США в поисках уязвимостей для последующих целевых атак.
Специалисты Black Lotus Labs, подразделения компании Lumen, прямо связывают операторов JDY с китайскоязычными хакерскими группами. В начале 2024 года под их управлением находилось около 650 устройств, сейчас цифра превысила 1500. Удвоение сети за 24 месяца сопровождается чёткой переориентацией атакующих на цели в США, что выводит JDY из категории рядовых криминальных ботнетов в разряд инструментов государственной киберразведки.
Военный сектор США оказался главной мишенью операторов JDY. Среди регулярных целей сканирования аналитики отмечают подрядчиков Пентагона, базы данных оборонных предприятий, сети военной инфраструктуры и связанные с ними американские организации. Подобная избирательность отличает JDY от типовых криминальных ботнетов, ориентированных на финансовую выгоду, и указывает на стратегические интересы Пекина.
Сеть работает как распределённый разведывательный сканер против американских целей, а не как оружие массированной атаки. Заражённые узлы собирают данные о доступных в интернете сервисах военных и государственных структур США, строят цифровые отпечатки оборонной инфраструктуры и фиксируют уязвимые системы. Полученные сведения уходят к китайским операторам и применяются для подготовки точечных вторжений уже после публикации новых CVE.
Реакция китайских операторов на свежие уязвимости впечатляет своей скоростью. После раскрытия CVE-2026-35616 в FortiClient EMS массовый поиск уязвимых инсталляций в американских сетях начался почти сразу же, в течение считанных часов.
Интересно, что подобная оперативность фактически превращает каждую новую публикацию о бреши в защите в стартовый сигнал для разведывательной кампании против оборонного сектора США.
Основой ботнета остаются устройства сегмента SOHO и IoT, расположенные преимущественно на территории США и годами работающие без обновлений. В списке скомпрометированного оборудования встречаются:
- маршрутизаторы Cisco, DrayTek, Linksys и Ubiquiti;
- камеры видеонаблюдения Hikvision;
- сетевые устройства Araknis и Mimosa Networks;
- бытовое и офисное оборудование на различных вариантах архитектуры MIPS;
- техника, эксплуатируемая в малых офисах американских компаний и подрядных организаций.
Технический арсенал вредоносного ПО позволяет китайским операторам выжимать из заражённого узла максимум полезных данных об американских сетях. Каждое устройство умеет выполнять несколько типов разведки одновременно, формируя подробное досье на найденные сервисы.
Возможности JDY в части сбора информации выглядят так:
- TCP-сканирование портов с фиксированным исходящим портом 19000;
- анализ SSL и TLS-соединений с захватом сертификатов;
- UDP-проверки и ICMP-запросы для уточнения характеристик хостов;
- получение баннеров сетевых сервисов американских организаций;
- построение цифровых отпечатков обнаруженных систем оборонного сектора.
Связь с управляющей инфраструктурой выстроена через скрытые сервисы Tor, а в части случаев операторы подключают платформу удалённого управления Platypus. Заражённое устройство периодически обращается к серверу распределения задач, получает список американских целей, выполняет проверки, упаковывает результаты и отправляет их обратно китайским хакерам. Цикл повторяется до команды на остановку.
Отдельного разбора заслуживает механизм быстрого TCP-сканирования американских сетей. При получении повышенных привилегий вредонос переходит на работу с необработанными сокетами и формирует собственные пакеты вручную. Дальше начинается высокоскоростное SYN-сканирование, которое одновременно ускоряет поиск открытых портов в инфраструктуре США и уменьшает заметность для систем мониторинга.
Стоит обратить внимание на то, что одновременная обработка тысяч американских целей с одного скомпрометированного роутера превращает обычную домашнюю железку в полноценный инструмент китайской киберразведки против Пентагона.
Защита периметра в новых условиях сводится к работе с тем оборудованием, которое чаще всего попадает в сети китайских хакеров. Администраторам американских организаций и владельцам малых офисов имеет смысл пересмотреть подход к управлению граничными устройствами и убрать самые очевидные слабые места, через которые JDY проникает в инфраструктуру США.
Базовые шаги для снижения риска попадания техники в ботнет JDY и аналогичные китайские сети:
- регулярно ставить обновления прошивок маршрутизаторов, камер и межсетевых экранов;
- отключать административные интерфейсы, выставленные наружу без необходимости;
- ограничивать удалённое управление по IP-спискам и VPN-каналам;
- менять заводские учётные данные и отказываться от слабых паролей;
- отслеживать аномальный исходящий трафик, в том числе обращения к Tor.
Сложность ситуации в том, что владельцы домашних и небольших офисных устройств в США редко считают свою технику привлекательной для китайской разведки. Между тем именно эта прослойка оборудования формирует львиную долю узлов JDY и обеспечивает операторам из КНР анонимность и географическое разнообразие точек сканирования американских военных сетей.
Ранее мы писали о том, что ряд представителей Республиканской партии в Конгрессе США обратился к ФБР с просьбой изучить причины массовых протестов против строительства дата-центров для систем искусственного интеллекта. Авторы обращения предположили, что за отдельными кампаниями могут стоять структуры, заинтересованные в замедлении развития американской ИИ-индустрии, и не исключили возможного влияния китайских интересов. При этом СМИ обращали внимание на то, что среди противников строительства подобных объектов присутствуют и представители самой Республиканской партии.
Эксперты редакции CISOCLUB уверены, что JDY представляет собой образец нового поколения китайской разведывательной инфраструктуры, нацеленной прицельно на военный и оборонный сектор США. Рост сети вдвое за два года при сохранении узкого профиля американских целей говорит о долгосрочной стратегии Пекина, а не о случайной кампании. Скорость реакции китайских операторов на свежие CVE превращает любую публикацию об уязвимости в гонку между защитниками американских сетей и сканерами JDY, и пока эта гонка складывается не в пользу Пентагона.
Военный и оборонный сектор США оказался под постоянным фоновым давлением со стороны КНР, которое сложно зафиксировать классическими средствами мониторинга периметра. Редакция полагает, что в ближайший год Китай будет наращивать число подобных распределённых разведывательных сетей против американских организаций. Пора перестать воспринимать домашний роутер и офисную IP-камеру как нейтральную бытовую технику, особенно на территории США.



