‘Joanap’ la botnet que lleva activa desde 2009 y que ha infectado a usuarios de Windows de más de 17 países diferentes está siendo mapeada por el gobierno de los Estados Unidos.
Se cree que sus responsables son el grupo ‘Hiden Cobra‘, también conocido como ‘Lazarus Group’ o ‘Guardians of Peace’ y que están respaldados por el gobierno de Corea del Norte. Hace algún tiempo @devploit habló sobre Joanap en
https://hispasec.us16.list-manage.com/track/click?u=dd62599a9195e52f2dca2ab9a&id=6d4c41cf8a&e=732cfed40d
donde hizo un breve resumen del funcionamiento de dicho malware.
El Departamento de Justicia (DoJ) de Estados unidos anunció el pasado miércoles su esfuerzo por mapear la red de bots vinculada a este malware. El FBI y la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) obtuvieron órdenes legales de búsqueda que permitieron a las agencias unirse a la botnet infectando intencionadamente máquinas en entornos controlados para imitar el comportamiento de los demás usuarios infectados y recolectar información técnica que permita identificarlos.
La información recopilada sobre los usuarios infectados incluía direcciones IP, puertos y marcas de tiempo que permitieron construir un mapa de la red de bots actual. Las agencias están ahora contactando con las víctimas para notificar de la presencia del malware en sus equipos a través de sus proveedores de servicios de internet e incluso enviando notificaciones personales.
El Departamento de Justicia de los Estados Unidos y el FBI también coordinarán la notificación a las víctimas extranjeras del malware ya que comparten los datos con gobiernos de otros países.