El Departamento de Justicia de los Estados Unidos (DoJ) anunció el miércoles sus esfuerzos para «mapear e interrumpir aún más» una red de bots vinculada a Corea del Norte que ha infectado numerosas computadoras con Microsoft Windows en todo el mundo durante la última década.

Doblado Juanapse cree que la red de bots es parte de «Hidden Cobra», un grupo de actores de Amenaza Persistente Avanzada (APT, por sus siglas en inglés) a menudo conocido como Grupo Lazarus y Guardianes de la Paz y respaldado por el gobierno de Corea del Norte.

Hidden Cobra es el mismo grupo de piratería que supuestamente se asoció con la amenaza del ransomware WannaCry en 2016, el ataque SWIFT Banking en 2016, así como el pirateo de Sony Motion Pictures en 2014.

Se remonta a 2009, Joanap es una herramienta de acceso remoto (RAT) que aterriza en el sistema de una víctima con la ayuda de un gusano SMB llamado Brambulque se arrastra de una computadora a otra mediante la fuerza bruta de los servicios de uso compartido de archivos de Windows Server Message Block (SMB) utilizando una lista de contraseñas comunes.

Una vez allí, Brambul descarga Joanap en las computadoras con Windows infectadas, abriendo efectivamente una puerta trasera para sus autores intelectuales y dándoles el control remoto de la red de computadoras con Windows infectadas.

Si quieres vencerlos, primero únete a ellos

Curiosamente, las computadoras infectadas por la botnet Joanap no reciben comandos de un servidor de comando y control centralizado; en cambio, se basa en la infraestructura de comunicaciones punto a punto (P2P), lo que hace que cada computadora infectada sea parte de su sistema de comando y control.

Aunque Joanap está siendo detectado actualmente por muchos sistemas de protección contra malware, incluido Windows Defender, la infraestructura de comunicaciones punto a punto (P2P) del malware aún deja una gran cantidad de computadoras infectadas conectadas a Internet.

Entonces, para identificar hosts infectados y eliminar la botnet, el FBI y la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) obtuvieron órdenes de allanamiento legales que permitieron a las agencias unirse a la botnet creando y ejecutando computadoras «intencionalmente infectadas» que imitan a sus pares para recopilar información de identificación tanto técnica como «limitada» en un intento de mapearlos, dijo el Departamento de Justicia en su comunicado de prensa.

«Si bien la red de bots Joanap se identificó hace años y se puede derrotar con un software antivirus, identificamos numerosas computadoras desprotegidas que alojaban el malware subyacente a la red de bots», dijo la fiscal federal Nicola T. Hanna.

«Las órdenes de allanamiento y las órdenes judiciales anunciadas hoy como parte de nuestros esfuerzos para erradicar esta red de bots son solo una de las muchas herramientas que utilizaremos para evitar que los ciberdelincuentes utilicen redes de bots para organizar intrusiones informáticas dañinas».

La información recopilada sobre las computadoras infectadas con el malware Joanap incluía direcciones IP, números de puerto y marcas de tiempo de conexión que permitieron que el FBI y AFOSI construyeran un mapa de la red de bots Joanap actual.

Las agencias ahora notifican a las víctimas de la presencia de Joanap en sus computadoras infectadas a través de sus proveedores de servicios de Internet (ISP) e incluso envían notificaciones personales a personas que no tienen un enrutador o un firewall que proteja sus sistemas.

El Departamento de Justicia de EE. UU. y el FBI también coordinarán la notificación de las víctimas en el extranjero del malware Joanap compartiendo los datos con el gobierno de otros países.

Los esfuerzos para interrumpir la red de bots Joanap comenzaron después de que Estados Unidos revelara los cargos contra un programador informático de Corea del Norte llamado Parque Jin Hyok en septiembre del año pasado por su papel en la mente maestra de los ataques de ransomware Sony Pictures y WannaCry.

Joanap y Brambul también se recuperaron de las computadoras de las víctimas de las campañas enumeradas en la acusación de septiembre de Hyok, lo que sugiere que él ayudó al desarrollo de la botnet Joanap.