Por Swati Khandelwal
Publicado no The Hacker News
O departamento de justiça dos Estados Unidos (DoJ) anunciou nesta quarta-feira que está se esforçando para ”mapear e interromper” um botnet ligado à Coreia do Norte. O malware comprometeu vários computadores da Microsoft (Windows) em todo o mundo na última década. Apelidado como Joanap, acredita-se que o botnet faça parte do grupo “Hidden Cobra” – os participantes do grupo da Advanced Persistent Threat (APT), conhecido como Lazarus Group e Guardians of Peace, são apoiados pelo governo norte-coreano.
O Hidden Cobra é o mesmo grupo hacker que foi supostamente associado à ameaça do ransomware WannaCry em 2016, ao ataque SWIFT Banking em 2016 e ao hackeamento da Sony Motion Pictures em 2014.
Em 2009, Joanap é uma ferramenta de acesso remoto (RAT) que chega ao sistema da vítima com a ajuda de um Worm SMB chamado Brambul, que rastreia um computador por meio de arquivos de compartilhamentos do Windows Server Message Block (SMB). Os serviços utilizam uma lista de senhas comuns.
O ataque funciona do seguinte modo: o Brambul faz download do Joanap nos computadores Windows efetivamente abrindo um backdoor para seus mentores e dando a eles controle remoto da rede de computadores Windows(infectados). Embora o Joanap esteja atualmente sendo detectado por muitos sistemas de proteção contra malware, incluindo o Windows Defender, a infra-estrutura de comunicações ponto a ponto (P2P) do malware ainda deixa um grande número de computadores infectados conectados à Internet.
Assim, para identificar os hosts infectados e derrubar a botnet, o FBI e o Escritório de Investigações Especiais da Força Aérea (AFOSI) obtiveram mandados judiciais que permitiram que as agências se juntassem ao botnet, criando e executando computadores “intencionalmente infectados” e imitando seus pares para coletar informações de identificação técnicas e “limitadas” em uma tentativa de mapeá-las, disse o DoJ em seu comunicado de imprensa.
“Embora a botnet Joanap tenha sido identificado anos atrás e possa ser derrotado com um software antivírus, identificamos vários computadores desprotegidos que hospedavam o malware subjacente à botnet”, afirmou o procurador dos EUA, Nicola T. Hanna. “Os mandados de busca e ordens judiciais anunciados hoje como parte de nossos esforços para erradicar esse botnet são apenas uma das muitas ferramentas que usaremos para impedir que os cibercriminosos usem botnets para causar intrusões prejudiciais em computadores.”
As informações coletadas sobre os computadores infectados com o malware Joanap incluíam endereços IP, números de porta e timestamps de conexão que permitiam ao FBI e ao AFOSI construir um mapa do botnet Joanap atual. As agências, agora, estão notificando as vítimas da presença de Joanap em seus computadores infectados através de seus provedores de serviços de Internet (ISPs) e até mesmo enviando notificações pessoais para pessoas que não têm um roteador ou firewall protegendo seus sistemas.
Os esforços para interromper o botnet Joanap começaram depois que os Estados Unidos acusaram o programador norte-coreano Park Jin Hyok em setembro do ano passado por seu papel em planejar os ataques de ransomware Sony Pictures e WannaCry. Os Joanap e Brambul também foram recuperados de computadores das vítimas das campanhas listadas na acusação de setembro do Hyok, sugerindo que ele ajudou no desenvolvimento do botnet Joanap.