Joanap Malware

ФБР против «Joanap Malware». Уничтожить северокорейский ботнет
гидра магазин

Министерство юстиции Соединенных Штатов (DoJ) объявило в среду о своих усилиях по «картированию и дальнейшему нарушению» ботнета, связанного с Северной Кореей, который за последнее десятилетие заразил множество компьютеров Microsoft Windows по всему миру.

Считается, что ботнет, названный Joanap, является частью «Скрытой кобры» — группы актеров Продвинутой Постоянной Угрозы (APT), часто называемой Группой Лазаря и Стражами Мира и поддерживаемой правительством Северной Кореи.

Hidden Cobra — это та же хакерская группа, которая, как утверждается, была связана с угрозой вымогателей WannaCry в 2016 году, атакой SWIFT Banking в 2016 году, а также взломом Sony Motion Pictures в 2014 году.

Начиная с 2009 года, Joanap — это инструмент удаленного доступа (RAT), который попадает в систему жертвы с помощью червя SMB под названием Brambul, который сканирует с одного компьютера на другой путем общего перебора файлов Windows Server Message Block (SMB). услуги с использованием списка общих паролей.

Оказавшись там, Brambul загружает Joanap на зараженные компьютеры Windows, эффективно открывая бэкдор для его вдохновителей и предоставляя им удаленный контроль над сетью зараженных компьютеров Windows.

Если вы хотите победить их, то сначала присоединяйтесь к ним

Интересно, что компьютеры, зараженные ботнетом Joanap, не принимают команды от централизованного командно-контрольного сервера; вместо этого он опирается на инфраструктуру одноранговой связи (P2P), что делает каждый зараженный компьютер частью системы управления и контроля.

Несмотря на то, что Joanap в настоящее время обнаруживается многими системами защиты от вредоносных программ, включая Защитника Windows, инфраструктура одноранговой связи (P2P) вредоносных программ все еще оставляет большое количество зараженных компьютеров подключенными к Интернету.

Таким образом, чтобы идентифицировать зараженные хосты и уничтожить ботнет, ФБР и Управление специальных расследований ВВС (AFOSI) получили юридические ордера на обыск, которые позволили агентствам присоединиться к ботнету, создав и запустив «намеренно зараженные» компьютеры, имитирующие его сверстников для сбора данных. как техническая, так и «ограниченная» идентифицирующая информация в попытке сопоставить их, говорится в пресс-релизе Министерства юстиции.

«Хотя ботнет Joanap был обнаружен несколько лет назад и может быть побежден с помощью антивирусного программного обеспечения, мы выявили множество незащищенных компьютеров, на которых размещалось вредоносное ПО, лежащее в основе ботнета», — сказал прокурор США Николай Т. Ханна.

« Ордера на обыск и судебные постановления, объявленные сегодня в рамках наших усилий по искоренению этого ботнета, являются лишь одним из многих инструментов, которые мы будем использовать для предотвращения использования ботнетами киберпреступников для нанесения ущерба компьютерным вторжениям ».

Собранная информация о компьютерах, зараженных вредоносным ПО Joanap, включала в себя IP-адреса, номера портов и временные метки подключения, что позволило ФБР и AFOSI построить карту текущего ботнета Joanap.

В настоящее время агентства уведомляют жертв о наличии Joanap на своих зараженных компьютерах через своих интернет-провайдеров (ISP) и даже отправляют персональные уведомления людям, у которых нет маршрутизатора или брандмауэра, защищающего их системы.

Министерство юстиции США и ФБР также будут координировать уведомление зарубежных жертв вредоносного ПО Joanap путем обмена данными с правительством других стран.

Усилия по срыву ботнета Joanap начались после того, как Соединенные Штаты раскрыли обвинения против северокорейского программиста по имени Пак Джин Хёк в сентябре прошлого года за его участие в организации атак на вымогателей Sony Pictures и WannaCry.

Джоанап и Брамбул были также найдены на компьютерах жертв кампаний, перечисленных в сентябрьском обвинительном акте Хёка, предполагая, что он помогал развитию ботнета Джоанапа.