Для ликвидации ботнета Joanap ФБР стало его частью

[RedruMZ]

Сотрудники ФБР присоединились к ботсети, используя серверы, имитирующие зараженные устройства.
Министерство юстиции США объявило о намерении отключить ботнет Joanap, созданный и управляемый элитными северокорейскими хакерскими подразделениями. По имеющейся информации, в рамках операции по ликвидации ботнета, которая продолжается уже на протяжении нескольких месяцев, сотрудники ФБР и отдела специальных расследований ВВС США присоединились к ботсети, используя серверы, имитирующие зараженные устройства.
Ботнет Joanap – один из инструментов группировки Hidden Cobra (также известна как Lazarus Group), которую связывают с атаками на компанию Sony Pictures Entertainment и эпидемией вымогательского ПО WannaCry . Ботнет активен с 2009 года и неоднократно использовался в различных вредоносных кампаниях. Для создания ботнета злоумышленники использовали червь Brambul, который распространяется от одного Windows-ПК к другому по протоколу SMB. Оказавшись на системе, вредонос загружает бэкдор Joanap, способный загружать, выгружать или исполнять файлы, а также устанавливать прокси для перенаправления вредоносного трафика через зараженный компьютер.
С помощью имитирующих зараженные устройства серверов агентам удалось собрать ряд полезной информации, включая IP-адреса, номера портов и пр. Теперь правоохранители планируют уведомить владельцев инфицированных компьютеров либо напрямую, либо через интернет-провайдеров.