Министерство юстиции США сообщило, что совместными усилиями ФБР и Управления специальных расследований ВВС США (AFOSI) скоро будет прекращена деятельность p2p-ботнета Joanap, который, управляется «элитными северокорейскими хакерами».
Согласно официальным документам, чтобы изучить структуру ботнета и составить перечень зараженных хостов, правоохранители внедрились в Joanap: создали специальные серверы, имитирующие зараженные компьютеры и сделали их частью ботнета, а затем несколько месяцев собирали статистику.
Как нетрудно понять, такой подход был возможен в силу того, что Joanap представляет собой p2p-решение, где хосты передают команды друг другу, а не общаются с единым управляющим сервером.
Теперь, спустя несколько месяцев наблюдений, Минюст сообщил, что правоохранители готовы уведомить жертв малвари о проблеме (напрямую или через интернет-провайдеров), помочь «обезвредить» Joanap в их системах и в итоге ликвидировать одно из старейших «киберорудий» Северной Кореи.
Представители Минюста пишут, что ликвидация Joanap станет следующим шагом после предъявления обвинений 34-летнему гражданину Северной Кореи Пак Чин Хёку (Park Jin Hyok, 박진혁 aka Jin Hyok Park и Pak Jin Hek). Напомню, что осенью прошлого года американские власти заявили, что тот работает на правительство страны и ответственен, например, за массовые атаки шифровальщика WannaCry в 2017 году, атаку на Центробанк Бангладеш в 2016 году, взлом компании Sony Pictures в 2014 году и так далее.
Считается, что Пак Чин Хёк является участником правительственной хакерской группировки Lazarus (она же Hidden Cobra), которая, в числе прочего, ответственна за создание малвари Brambul, известной специалистам еще с 2009 года. Распространение Brambul идет рука об руку с Joanap.
По данным US-CERT, ботнет Joanap – один из старейших инструментов северокорейских хакеров, существующий как минимум с 2009 года. Исторически ботнет представлял собой комбинацию двух вредоносов: упомянутого Brambul (SMB-червь для Windows-систем), который брутфорсил SMB-службы на удаленных машинах, используя распространенные комбинации логинов и паролей; и бэкдора Joanap, способного загружать, выгружать и исполнять файлы, вмешиваться в работу локальных процессов, проксировать трафик через зараженный хост.