JDY Botnet: Çin Bağlantılı Siber Tehdit Ağı ve ABD Askeri Ağlarına Saldırıları

Giriş

JDY botnet, Çin kökenli siber tehdit aktörleriyle (örneğin Volt Typhoon grubu) ilişkilendirilen ve giderek genişleyen bir malware ağıdır. Bu botnet, özellikle ABD askeri ve savunma ağlarına yönelik artan saldırı ve keşif faaliyetleriyle dikkat çekmektedir. JDY botnet'in hedef genişlemesi, siber güvenlik topluluğunda ciddi endişelere yol açmıştır. Bu makalede, JDY botnet'in yapısı, saldırı vektörleri, tespit yöntemleri ve savunma stratejileri detaylandırılacaktır.

JDY Botnet'in Teknik Detayları

Arka Plan ve Kökeni

JDY botnet, ilk olarak 2022 yılında tespit edilmiş olup, başlangıçta küçük ölçekli siber saldırılarda kullanılmıştır. Ancak, 2023 yılından itibaren etkinlik seviyesi önemli ölçüde artmış ve hedef listesine ABD askeri kurumları da eklenmiştir. Güvenlik araştırmacıları, JDY botnet'in Volt Typhoon grubuyla olan bağlantısını doğrulamıştır. Volt Typhoon, Çin devlet destekli bir siber casusluk grubu olarak bilinmektedir ve ABD'deki kritik altyapılara yönelik saldırılarda aktif rol oynamaktadır.

Botnet'in Mimari Yapısı

JDY botnet, merkezi bir komuta ve kontrol (C2) sunucusu tarafından yönetilen dağıtık bir ağdan oluşmaktadır. Botnet'in temel bileşenleri aşağıdaki gibidir:

• Enfekte Cihazlar (Zombiler): Kötü amaçlı yazılım bulaşmış bilgisayarlar, sunucular ve IoT cihazları.
• Komuta ve Kontrol Sunucuları (C2): Enfekte cihazlara komut göndermek ve verileri toplamak için kullanılan sunucular.
• Yayılma Mekanizması: Kendini kopyalayan ve yeni hedeflere bulaşan bir algoritma.
• Veri Toplama Modülü: Hedef sistemlerden hassas verilerin çalınması için tasarlanmış bileşen.

Saldırı Vektörleri ve Hedefleme Stratejisi

JDY botnet, aşağıdaki saldırı vektörlerini kullanarak ABD askeri ağlarını hedef almaktadır:

1. Fidye Yazılımı (Ransomware): Hedef sistemlere fidye yazılımı bulaştırarak verilerin şifrelenmesi ve fidye talep edilmesi.
2. Veri Sızdırma: Hassas askeri verilerin C2 sunucularına aktarılması.
3. Dağıtık Hizmet Reddi (DDoS): Hedef sistemlerin hizmet dışı bırakılması için yoğun trafik saldırıları.
4. Arka Kapı (Backdoor) Kurulumu: Hedef sistemlere uzun vadeli erişim sağlamak için arka kapılar yerleştirilmesi.

JDY botnet'in en dikkat çekici özelliği, keşif faaliyetlerinde artış göstermesidir. Botnet, hedef ağlardaki zayıf noktaları tespit etmek için otomatik tarama araçları kullanmaktadır. Bu tarama faaliyetleri, genellikle gece saatlerinde gerçekleştirilmekte ve hedef sistemlerin savunma mekanizmalarını aşmak için çeşitli teknikler kullanılmaktadır.

JDY Botnet'in Tespiti ve Analizi

Sinyal ve Davranışsal Belirtiler

JDY botnet'in tespiti için aşağıdaki sinyal ve davranışsal belirtilere dikkat edilmelidir:

• Anormal Ağ Trafiği: C2 sunucularıyla sürekli iletişim halinde olan sistemler.
• Yavaş Sistem Performansı: Enfekte cihazlarda gözlemlenen performans düşüşleri.
• Bilinmeyen Süreçler: Görev yöneticisinde yer almayan ve açıklanamayan süreçlerin çalışması.
• Veri Aktarımında Artış: Hassas verilerin dışa aktarılması sırasında oluşan anormal ağ trafiği.

Güvenlik Araçları ve Yöntemleri

JDY botnet'in tespiti için aşağıdaki güvenlik araçları ve yöntemleri kullanılabilir:

1. IDS/IPS Sistemleri:

   # Snort kuralı örneği (JDY botnet C2 trafiğini tespit etmek için)
   alert tcp any any -> any 443 (msg:"Potential JDY Botnet C2 Traffic"; flow:to_server; content:"POST"; http_method; content:"jdy"; http_uri; sid:1000001; rev:1;)
   

2. Güvenlik Bilgi ve Olay Yönetimi (SIEM): Log verilerinin merkezi olarak analiz edilmesi ve anormal davranışların tespiti.

   # Splunk sorgusu örneği (JDY botnet aktivitesini tespit etmek için)
   index=network sourcetype=bro:http | search uri="/jdy*" OR user_agent="JDYBot*" | stats count by src_ip, dest_ip
   

3. Antivirüs ve EDR Çözümleri: Enfekte cihazların tespiti ve izole edilmesi.

   # Windows Defender komutuyla tarama
   C:\Program Files\Windows Defender\MpCmdRun.exe -Scan -ScanType 3
   

Forensik Analiz

JDY botnet'in forensik analizi için aşağıdaki adımlar izlenmelidir:

1. Disk Görüntüsü Oluşturma: Enfekte sistemin disk görüntüsü alınarak analiz için saklanması.

   # FTK Imager kullanarak disk görüntüsü oluşturma
   ftkimager \\.\PhysicalDrive0 C:\Forensic\JDY_Botnet_Image.dd
   

2. Bellek Analizi: Enfekte sistemin bellek dökümünün alınması ve kötü amaçlı yazılımın bellek içindeki izlerinin araştırılması.

   # Volatility kullanarak bellek analizi
   volatility -f memory.dmp --profile=Win10x64_19041 pslist
   

3. Kötü Amaçlı Yazılım Analizi: Enfekte sistemden alınan örneklerin sandbox ortamında analiz edilmesi.

   # Cuckoo Sandbox kullanarak otomatik analiz
   cuckoo submit --file malware_sample.exe
   

JDY Botnet'e Karşı Korunma ve Savunma Stratejileri

Önleyici Tedbirler

JDY botnet'in hedefi haline gelmemek için aşağıdaki önleyici tedbirler alınmalıdır:

1. Güncel Yazılımlar: Tüm sistemlerin ve yazılımların en son güvenlik yamalarıyla güncel tutulması.

   # Windows Update komutu
   C:\> wuauclt /detectnow /resetauthorization
   

2. Güçlü Parolalar ve Çok Faktörlü Kimlik Doğrulama (MFA): Tüm hesaplarda güçlü parolalar ve MFA kullanılması.

   # Azure AD'de MFA etkinleştirme
   az ad user update --id user@domain.com --password (--password-prompt)
   

3. Ağ Segmentasyonu: Kritik sistemlerin ayrı ağ segmentlerinde izole edilmesi.

   # Cisco ASA'da ağ segmentasyonu
   access-list NETWORK_SEGMENTATION extended permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.255.0
   

4. Güvenlik Duvarı Kuralları: Sadece gerekli port ve protokollere erişime izin verilmesi.

   # Linux iptables ile güvenlik duvarı kuralı
   sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 80 -j DROP
   

Tespit ve Müdahale Planı

JDY botnet'in tespiti durumunda aşağıdaki adımlar izlenmelidir:

1. İzolasyon: Enfekte sistemlerin ağdan izole edilmesi.

   # Windows sistemde ağ bağlantısını kesme
   netsh interface set interface "Ethernet" admin=disable
   

2. Kötü Amaçlı Yazılımın Kaldırılması: Enfekte sistemlerden JDY botnet'in kaldırılması.

   # Malwarebytes kullanarak temizlik
   "C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe" /scan -full
   

3. Logların Analizi: Olay günlüklerinin incelenmesi ve saldırının kaynağının belirlenmesi.

   # Windows Event Viewer ile log analizi
   eventvwr.msc
   

4. Yetkililere Bildirim: Siber saldırının ilgili yetkililere (örneğin CISA) bildirilmesi.

   # CISA'ya bildirim için kullanılan komut
   curl -X POST https://www.cisa.gov/report -d "incident=JDY_Botnet_Attack"
   

İpuçları ve Uyarılar

⚠️ Dikkat: JDY botnet'in tespiti zor olabilir, çünkü botnet sürekli olarak saldırı yöntemlerini güncellemektedir. Bu nedenle, sürekli izleme ve güncel güvenlik araçlarının kullanımı kritik önem taşımaktadır.

💡 İpucu: Kritik sistemlerde ağ trafiğini sürekli olarak izleyerek anormal davranışları erken tespit edebilirsiniz. Örneğin, gece saatlerinde oluşan olağandışı trafikler, botnet aktivitesinin bir göstergesi olabilir.

Sonuç

JDY botnet, ABD askeri ağlarına yönelik artan tehditleriyle siber güvenlik topluluğunda ciddi endişelere yol açmaktadır. Bu botnet'in tespiti ve savunulması, sürekli izleme, güncel güvenlik araçlarının kullanımı ve etkili müdahale planlarının uygulanmasını gerektirmektedir. JDY botnet'in yapısı, saldırı vektörleri ve tespit yöntemleri hakkında bilgi sahibi olmak, siber savunma stratejilerinin geliştirilmesi açısından kritik öneme sahiptir. Siber güvenlik profesyonellerinin, bu tehdidi ciddiye almaları ve gerekli önlemleri almaları gerekmektedir.

Kaynakça

• BleepingComputer: China-linked JDY botnet expands targeting of U.S. military networks
• CISA (Cybersecurity and Infrastructure Security Agency)
• Malwarebytes