joanap

Joanap: le FBI veut perturber le botnet Nord Coréen

Le département de la justice des Etats-Unis a annoncé ses nouveaux objectifs de “cartographier et perturber” le botnet Joanap lié à la Corée du Nord. Il a déjà infecté un grand nombre d’ordinateurs dans le monde durant les dix dernières années.

Le botnet appartiendrait à “Hidden Cobra”— un groupe de hacker aussi connu sous les noms “Lazarus Group” ou “Guardians of Peace”. Ce groupe est soutenu par le gouvernement Nord Coréen.

Hidden Cobra est le même groupe qui était associé au ransomware WannaCry en 2016, l’attaque SWIFT Banking en 2016, ainsi que le piratage de Sony Motion Pictures en 2014.

Apparu pour la première fois en 2009, Joanap est un remote access tool (RAT) qui débarque sur le système d’une victime en utilisant un vers SMB nommé Brambul. Ce vers se balade de machine en machine en attaquant par force brute le service de partage de fichier Windows Server Message Block (SMB) et en utilisant une liste de mot de passe communs.

Une fois arrivée à destination, Brambul télécharge Joanap sur l’ordinateur infecté, ouvre une porte dérobée et donne un accès à distance au réseau de la machine infecté.

Si vous n’arrivez pas à les battre, alors rejoignez Joanap

Ce qui est intéressant c’est que les ordinateurs infectés ne reçoivent pas de commandes de la part d’un serveur command-and-control (C&C); mais se repose sur une infrastructure peer-to-peer (P2P).

Pour identifier les hôtes infectés et se débarrasser du botnet, le FBI et le Air Force Office of Special Investigations (AFOSI) a obtenu des mandats spéciaux pour leur permettre de rejoindre le botnet en infectant des machines pour cartographier le réseau botnet.

Les informations collectés sur les ordinateurs infectés par le malware Joanap incluent des adresses IP et des numéros de port qui ont permis au FBI et AFOSI de cartographier le botnet Joanap.

Les victimes sont alertés de l’infection de leur système via leur fournisseur d’accès. Ils prévoient de contacter les gouvernements d’autres pays pour alerter les victimes dans le reste du monde.

Ces efforts pour stopper le botnet Joanap ont débuté après que les Etats-Unis ait poursuivi en justice Park Jin Hyok, un programmeur nord-coréen, en Septembre 2018. Il est suspecté d’être derrière les attaques de Sony Pictures et le ransomware WannaCry.

Si cet article vous a plu, jetez un œil à notre précédent article.

Source: The Hacker News

Leave a Reply