Giriş
Son dönemde, Çin kaynaklı devlet destekli tehdit aktörleri tarafından kullanılan JDY adlı botnetin yeniden ortaya çıktığı ve genişlediği konusunda uzmanlar uyarılarda bulundu. JDY, potansiyel saldırılara zemin hazırlayan kapsamlı bir tarama sistemi olarak karşımıza çıkıyor.
Saldırı Nasıl Çalışıyor?
JDY botneti, 1.500’den fazla SOHO (küçük ofis ve ev ofisi) ve IoT (Nesnelerin İnterneti) cihazından oluşmakta ve merkezi olarak kontrol edilen, yüksek performanslı bir tarayıcı olarak işlev görmekte. Bu botnet, hedef internet servislerini keşfetmek, parmak izi çıkartmak ve devamlı olarak haritalamak için kullanılmaktadır.
Etkilenen Sistemler
JDY botnetinin etkisi, özellikle aşağıdaki cihazları kapsıyor:
- Cisco RV320 ve RV325 yönlendiricileri
- Araknis, Mimosa Networks, Ubiquiti, Draytek, Hikvision, Linksys gibi cihazlar
Botnet, ilk olarak Aralık 2023’te KV-botnet adlı başka bir botnet içerisinde bir küme olarak tespit edildi. 2024 başlangıcında KV-botnet’in hükümet tarafından etkisiz hale getirilmesinin ardından, JDY’nin operasyonları daha da çeşitlendi ve büyüme kaydetti.
Çözüm ve Korunma
Siber güvenlik uzmanları, JDY botnetinin kullanımına karşı aşağıdaki önlemlerin alınmasını önermektedir:
- En güncel yazılım güncellemelerinin yapılması
- Güçlü güvenlik duvarları ve IDS/IPS sistemlerinin kullanılması
- Şüpheli IP adreslerinin engellenmesi
- Eric CVE-2026-35616 gibi bilinen güvenlik açıkları için acil yamanın yapılması
JDY, botnetin büyüklüğünün artması nedeniyle, etkili koruma sağlamak için önemli bir tehdit oluşturmaktadır.
Sonuç
JDY botnetinin gelişimi, bireysel düğümlerin veya kümelerin etkisiz hale getirilmesinin mevcut yetenekleri ortadan kaldırmadığını gösteriyor. Bu nedenle, sistem yöneticileri güncellemeleri yapmalı, şüpheli portları kapatmalı ve güvenlik önlemlerini artırmalıdır. JDY’nin sürekli varlığı ve gelişimi, modern siber tehditlerin ne kadar dinamik olduğunu ortaya koymaktadır.
