Министерство юстиции США рассказало о мерах, принятых совместно с ФБР и Управлением специальных расследований ВВС (AFOSI) для подрыва деятельности ботоводов Joanap. С разрешения суда участники масштабной операции подменили часть узлов зомби-сети, что позволило выявить заражения по всему миру и начать оповещение пострадавших.

Названный ботнет предположительно принадлежит северокорейской группировке Hidden Cobra. По данным американской Группы быстрого реагирования на киберинциденты (US-CERT), троян Joanap, который зачастую идет в одной упряжке с сетевым червем Brambul, используется в атаках с 2009 года.

Этот Windows-зловред помогает злоумышленникам получить удаленный доступ к инфраструктуре жертвы и развить атаку посредством загрузки дополнительного вредоносного ПО, вмешательства в локальные процессы и проксирования трафика через зараженный узел. Для доставки Joanap иногда используется Brambul, умеющий распространяться по сети путем подбора паролей к уязвимым SMB-службам.

Оба вредоносных инструмента известны давно и распознаются большинством антивирусов, однако их до сих пор можно найти на компьютерах пользователей. Так, к концу мая 2018 года эксперты US-CERT выявили 87 зараженных Joanap хостов в 17 странах Европы, Азии, Латинской Америки и Африки.

Одноименный ботнет построен как одноранговая сеть, а такие структуры очень трудно обезвредить. Тем не менее, американцы попытались это сделать с помощью подставных серверов, которые несколько месяцев работали под наблюдением сотрудников AFOSI и оперативного отдела ФБР в Лос-Анджелесе. За это время специалистам удалось собрать достаточно информации о пирах Joanap, чтобы составить глобальную карту заражений.

ФБР уже начало рассылку соответствующих уведомлений интернет-провайдерам и пользователям ПК, не прикрытых роутерами и защиnными экранами. Оповещение жертв заражения за рубежом будет координировать правительство США.

В рамках масштабной операции против Joanap в США в прошлом году также был запущен процесс по делу Пак Чин Хёка (Park Jin Hyok). Программиста из КНДР обвиняют в преступном сговоре и соучастии в распространении червя Brambul с целью взлома сетей в разных странах.

Категории: Вредоносные программы, Кибероборона