США обвинили Северную Корею в распространении двух зловредов

Центр реагирования на киберугрозы США (US-CERT) выпустил сообщение, согласно которому семейства вредоносного ПО Joanap и Brambul являются инструментами властей Северной Кореи. В сообщении сказано, что к такому выводу пришли эксперты Министерства внутренней безопасности и ФБР США, установив IP-адреса, связанные с распространением зловредов, и проанализировав ряд их отличительных особенностей.

Вредоносное ПО Joanap предназначено для создания ботнетов, используемых затем в различных кибершпионских операциях. Зловред использует одноранговую сеть (peer-to-peer) и способен похищать данные с инфицированных устройств под управлением ОС Windows, а также задействовать их в качестве прокси-серверов. Зловред Brambul относится к категории SMB-червей. Он является файлом динамически подключаемой библиотеки (DLL) либо портативным исполняемым файлом. Brambul устанавливается на устройства программами-загрузчиками вредоносного ПО. Активируясь, он пытается получить доступ по протоколу SMB. Для этого используются bruteforce-атаки по встроенному списку распространенных паролей. В случае успеха зловред передает на командный сервер злоумышленников информацию об IP-адресах и учетных данных всех пораженных устройств сети, обеспечивая дистанционный контроль над ними по протоколу SMB.

В сообщении US-CERT отмечено, что Joanap и Brambul используются северокорейскими спецслужбами с 2009 года. Жертвами их атак стали многие предприятия и организации по всему миру. В частности, в США эти зловреды применялись для атак на СМИ, предприятия аэрокосмической отрасли и финансовой сферы, а также объекты критической инфраструктуры.