JAKU es el nombre de la investigación sobre una campaña de botnets que realiza el equipo de Investigaciones Especiales de Forcepoint Security Labs. Hemos incluido nuestro análisis técnico en un reporte especial. Los enlaces para descargarlo, así como otros recursos, se proporcionan al final de este documento.
Puede descargar aquí una lista de los Indicadores de Compromiso que ya están disponibles.
Jaku ataca a víctimas específicas
Lo que distingue a JAKU es que, a diferencia de las miles de víctimas de los botnets, ataca y sigue a una cantidad pequeña de individuos específicos incluyendo a miembros de Organizaciones No Gubernamentales (ONGs), compañías de ingeniería, académicos, científicos y funcionarios gubernamentales. Los temas comunes que se comparten entre estos individuos son Corea del Norte (DPRK) y Pyongyang.
JAKU ataca a sus víctimas – se ha estimado en 19 000 el número de víctimas en un momento dado – principalmente a través de archivos BitTorrent ‘envenenados’ compartidos. Las víctimas se encuentran por todo el mundo, pero un número importante de ellas se localizan en Corea del Sur y Japón. Forcepoint Security Labs determinó que los servidores de Comando y Control (C2) del botnet que se han identificado también se localizan en la región de Asia-Pacífico, incluyendo a países como Singapur, Malasia y Tailandia.
Jaku es sofisticado y adaptable
JAKU utiliza tres mecanismos diferentes de C2, lo que lo hace altamente adaptable. El código comprimido y cifrado que se incluye en los archivos de imágenes se utiliza para distribuir el malware de la segunda etapa, mientras que los controladores del botnet monitorean a sus miembros a través de bases de datos SQLite ofuscadas. También los controladores reutilizan ingeniosamente el software de código abierto que está ampliamente disponible, incluyendo el protocolo de transporte de red UDT, el software copiado de los sitios de bloggers coreanos y código publicado previamente el cual se ha reescrito.
La investigación sobre JAKU inició a finales de octubre de 2015. Desde entonces reunimos, cotejamos y procesamos alrededor de 1.7 terabytes de datos telemétricos a lo largo de los seis meses de investigación.
¿Quién está detrás de la campaña del Botnet Jaku?
Forcepoint Security Labs se concentra en entender y conocer a fondo su propósito. Esto resulta de gran utilidad para identificar el comportamiento que pudiera tener en el futuro. No nos enfocamos en una atribución específica; sin embargo, hay indicadores que sugieren que el autor o autores del malware identificado son personas cuyo primer idioma es el coreano.
Análisis técnico detallado ya está disponible para su descarga en https://www.forcepoint.com/jaku
Videos
Serie de entrevistas con Andy Settle, jefe de investigaciones especiales, en las que se analiza el “qué”, el “cómo” y el “por qué” de JAKU:
Infografía disponible y puede descargarse aquí.