FBI pretende derrubar a botnet Joanap operada por hackers norte-coreanos

O Departamento de Justiça dos EUA anunciou hoje um esforço para derrubar Joanap, um botnet construído e operado pelas unidades de hackers de elite da Coréia do Norte.

Esforços para perturbar a rede de bots já estão em andamento há vários meses, com base em uma ordem judicial mandato de busca que o
Departamento de Justiça dos Estados Unidos (DOJ) obteve em outubro de 2018.

Com base nesses documentos judiciais, o escritório de campo do FBI em Los Angeles e o Escritório de Investigações Especiais da Força Aérea dos EUA (AFOSI) têm operado servidores imitando computadores infectados como parte do botnet e mapeando silenciosamente outros hosts infectados.

Isso foi possível devido à maneira como a botnet Joanap foi construída, contando com um sistema de comunicações ponto a ponto (P2P) em que os hosts infectados transmitem comandos introduzidos na rede do botnet de um para outro, em vez de reportar a um comando central e servidor de controle.

Agora, após meses de mapeamento de outros infectados, o DOJ diz que planeja notificar as vítimas, diretamente e através de seus provedores de internet, em um esforço para desinfetar esses sistemas, e indiretamente interromper uma das mais antigas armas cibernéticas da Coréia do Norte.

O esforço do DOJ hoje é um passo natural em seu processo de combater a ameaça cibernética norte-coreana, as autoridades norte americanas acusaram um homem que acreditavam ser parte das unidades de hackers da Coréia do Norte.

O botnet Joanap é uma das ferramentas usadas pelos hackers norte-coreanos muitas vezes no passado, o que o tornou um dos principais alvos dos esforços de remoção do DOJ.

De acordo com um alerta do Departamento de Segurança Interna publicado em maio de 2018, e de acordo com relatórios de fornecedores de segurança cibernética, o botnet Joanap existe desde 2009 e foi construído usando uma combinação de duas cepas de malware.

O primeiro é o malware Brambul , um worm SMB que se espalha do Windows PC para outros PCs Windows, forçando os serviços SMB (Server Message Block) executando em computadores remotos usando uma lista de senhas comuns.

Uma vez em um host infectado, o worm Brambul baixa outra cepa de malware, o backdoor Joanap , e depois passa para procurar outras computações para infectar.

O Trojan backdoor Joanap pode baixar, carregar ou executar arquivos, gerenciar processos locais e iniciar um proxy para retransmitir tráfego malicioso através do host infectado.

O botnet Joanap é a rede de computadores infectados com esse backdoor muito potente e rico em recursos.

“Através desta operação, estamos trabalhando para erradicar a ameaça que os hackers da Coreia do Norte representam para a confidencialidade, integridade e disponibilidade de dados”, disse John Demers, procurador-geral assistente de segurança nacional. “Esta operação é outro exemplo dos esforços do Departamento de Justiça para usar todas as ferramentas à nossa disposição para interromper os agentes de ameaças à segurança nacional.”

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.