FBI Mapea Vítimas de ‘Joanap Malware’ para Interromper o Botnet Norte-Coreano

O Departamento de Justiça dos Estados Unidos (DoJ) anunciou nesta sexta-feira seu esforço para ‘mapear e perturbar ainda mais’ um botnet ligado à Coréia do Norte que infectou vários computadores Microsoft Windows em todo o mundo na última década.

Apelidado de Joanap, acredita-se que o botnet faça parte de ‘Hidden Cobra’ – um grupo de atores da Advanced Persistent Threat (APT) conhecido como Lazarus Group e Guardians of Peace e apoiado pelo governo norte-coreano.

O Hidden Cobra é o mesmo grupo hacker que foi supostamente associado à ameaça do ransomware WannaCry em 2016, o ataque SWIFT Banking em 2016, bem como a Sony Motion Pictures hackeada em 2014.

Data de 2009, Joanap é uma ferramenta de acesso remoto (RAT) que chega ao sistema da vítima com a ajuda de um worm SMB chamado Brambul, que rastreia de um computador para outro por meio de forçosos arquivos de compartilhamento de arquivos do Windows Server Message Block (SMB). Serviços usando uma lista de senhas comuns.

Uma vez lá, Brambul faz o download do Joanap nos computadores Windows infectados, efetivamente abrindo um backdoor para seus mentores e dando a eles controle remoto da rede de computadores Windows infectados.

Se você quiser vencê-los, então primeiro junte-se a eles

Curiosamente, os computadores infectados pelo botnet Joanap não recebem comandos de um servidor centralizado de comando e controle; Em vez disso, ele conta com infra-estrutura de comunicação ponto a ponto (P2P), tornando cada computador infectado uma parte de seu sistema de comando e controle.

Embora Joanap esteja atualmente sendo detectada por muitos sistemas de proteção contra malware, incluindo o Windows Defender, a infra-estrutura de comunicações ponto a ponto (P2P) do malware ainda deixa um grande número de computadores infectados conectados à Internet.

Assim, para identificar os hosts infectados e derrubar a botnet, o FBI e o Escritório de Investigações Especiais da Força Aérea (AFOSI) obtiveram mandados judiciais que permitiram que as agências se juntassem ao botnet criando e executando computadores ‘intencionalmente infectados’ imitando seus pares para coletar Informações de identificação técnicas e ‘limitadas’ em uma tentativa de mapeá-las, disse o DoJ em seu comunicado à imprensa.

‘Embora a botnet Joanap tenha sido identificada anos atrás e possa ser derrotada com um software antivírus, identificamos vários computadores desprotegidos que hospedavam o malware subjacente à botnet’, disse o advogado norte-americano Nicola T. Hanna.

‘Os mandados de busca e ordens judiciais anunciados hoje como parte de nossos esforços para erradicar esse botnet são apenas uma das muitas ferramentas que usaremos para evitar que criminosos cibernéticos usem botnets para causar intrusões prejudiciais em computadores.’

As informações coletadas sobre os computadores infectados com o malware Joanap incluíam endereços IP, números de porta e timestamps de conexão que permitiam ao FBI e AFOSI construir um mapa do atual botnet Joanap.

As agências agora estão notificando as vítimas da presença de Joanap em seus computadores infectados através de seus provedores de serviços de Internet (ISPs) e até mesmo enviando notificações pessoais para pessoas que não têm um roteador ou firewall protegendo seus sistemas.

O Departamento de Justiça dos EUA e o FBI também coordenarão a notificação de vítimas estrangeiras do malware Joanap, compartilhando os dados com o governo de outros países.

Os esforços para interromper o botnet Joanap começaram depois que os Estados Unidos acusaram um programador norte-coreano chamado Park Jin Hyok em setembro do ano passado, por seu papel em planejar os ataques de ransomware Sony Pictures e WannaCry.

Joanap e Brambul também foram recuperados de computadores das vítimas das campanhas listadas na acusação de setembro do Hyok, sugerindo que ele ajudou no desenvolvimento do botnet Joanap.

Tem algo a dizer sobre este artigo? Comente abaixo para sabermos a sua opinião sobre essa ação do FBI.

E Não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você.

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.