Для ликвидации ботнета Joanap ФБР стало его частью

Для ликвидации ботнета Joanap ФБР стало его частью

Сотрудники ФБР присоединились к ботсети, используя серверы, имитирующие зараженные устройства.

image

Министерство юстиции США объявило о намерении отключить ботнет Joanap, созданный и управляемый элитными северокорейскими хакерскими подразделениями. По имеющейся информации, в рамках операции по ликвидации ботнета, которая продолжается уже на протяжении нескольких месяцев, сотрудники ФБР и отдела специальных расследований ВВС США присоединились к ботсети, используя серверы, имитирующие зараженные устройства.

Ботнет Joanap – один из инструментов группировки Hidden Cobra (также известна как Lazarus Group), которую связывают с атаками на компанию Sony Pictures Entertainment и эпидемией вымогательского ПО WannaCry . Ботнет активен с 2009 года и неоднократно использовался в различных вредоносных кампаниях. Для создания ботнета злоумышленники использовали червь Brambul, который распространяется от одного Windows-ПК к другому по протоколу SMB. Оказавшись на системе, вредонос загружает бэкдор Joanap, способный загружать, выгружать или исполнять файлы, а также устанавливать прокси для перенаправления вредоносного трафика через зараженный компьютер.

С помощью имитирующих зараженные устройства серверов агентам удалось собрать ряд полезной информации, включая IP-адреса, номера портов и пр. Теперь правоохранители планируют уведомить владельцев инфицированных компьютеров либо напрямую, либо через интернет-провайдеров.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.