menu

Contact Us

1 (800) 723-1166 |

Security Labs

HomeSecurity LabsJAKU, UNA INVESTIGACIÓN ESPECIAL SOBRE UNA CAMPAÑA DE BOTNETS ANTES DESCONOCIDA
HomeSecurity LabsJAKU, UNA INVESTIGACIÓN ESPECIAL SOBRE UNA CAMPAÑA DE BOTNETS ANTES DESCONOCIDA

JAKU, UNA INVESTIGACIÓN ESPECIAL SOBRE UNA CAMPAÑA DE BOTNETS ANTES DESCONOCIDA

JAKU es el nombre de la investigación sobre una campaña de botnets que realiza el equipo de Investigaciones Especiales de Forcepoint Security Labs. Hemos incluido nuestro análisis técnico en un reporte especial. Los enlaces para descargarlo, así como otros recursos, se proporcionan al final de este documento.

Puede descargar aquí una lista de los Indicadores de Compromiso que ya están disponibles.

JAKU ATACA A VÍCTIMAS ESPECÍFICAS

Lo que distingue a JAKU es que, a diferencia de las miles de víctimas de los botnets, ataca y sigue a una cantidad pequeña de individuos específicos incluyendo a miembros de Organizaciones No Gubernamentales (ONGs), compañías de ingeniería, académicos, científicos y funcionarios gubernamentales. Los temas comunes que se comparten entre estos individuos son Corea del Norte (DPRK) y Pyongyang.

JAKU ataca a sus víctimas – se ha estimado en 19 000 el número de víctimas en un momento dado – principalmente a través de archivos BitTorrent ‘envenenados’ compartidos. Las víctimas se encuentran por todo el mundo, pero un número importante de ellas se localizan en Corea del Sur y Japón. Forcepoint Security Labs determinó que los servidores de Comando y Control (C2) del botnet que se han identificado también se localizan en la región de Asia-Pacífico, incluyendo a países como Singapur, Malasia y Tailandia.

JAKU ES SOFISTICADO Y adaptable

JAKU utiliza tres mecanismos diferentes de C2, lo que lo hace altamente adaptable. El código comprimido y cifrado que se incluye en los archivos de imágenes se utiliza para distribuir el malware de la segunda etapa, mientras que los controladores del botnet monitorean a sus miembros a través de bases de datos SQLite ofuscadas. También los controladores reutilizan ingeniosamente el software de código abierto que está ampliamente disponible, incluyendo el protocolo de transporte de red UDT, el software copiado de los sitios de bloggers coreanos y código publicado previamente el cual se ha reescrito.

¿CÓMO Y CUÁNDO REALIZAMOS LA INVESTIGACIÓN?

La investigación sobre JAKU inició a finales de octubre de 2015. Desde entonces reunimos, cotejamos y procesamos alrededor de 1.7 terabytes de datos telemétricos a lo largo de los seis meses de investigación.

¿QUIÉN ESTÁ DETRÁS DE LA CAMPAÑA DEL BOTNET JAKU?

Forcepoint Security Labs se concentra en entender y conocer a fondo su propósito. Esto resulta de gran utilidad para identificar el comportamiento que pudiera tener en el futuro. No nos enfocamos en una atribución específica; sin embargo, hay indicadores que sugieren que el autor o autores del malware identificado son personas cuyo primer idioma es el coreano.

ENLACES DE DESCARGA Y OTROS RECURSOS

Reporte técnico – nuestro análisis técnico detallado ya está disponible para su descarga en https://www.forcepoint.com/jaku

Infografía – una infografía está disponible y puede descargarse aquí.

Videos – estamos dando a conocer una serie de entrevistas con Andy Settle, nuestro jefe de investigaciones especiales, en las que se analiza el “qué”, el “cómo” y el “por qué” de JAKU: https://youtu.be/pz7nGPLOb1I

Acerca de Forcepoint

El portafolio de productos de Forcepoint protege a los usuarios, a los datos y a las redes contra los adversarios más determinados, contra las amenazas internas accidentales o maliciosas y ataques externos, a lo largo del ciclo de vida completo de una amenaza. Forcepoint protege los datos en todas partes – en la nube, en el camino, en la oficina – simplificando el cumplimiento, permitiendo una mejor toma de decisiones y seguridad más eficiente. Forcepoint permite que las organizaciones se concentren en lo que es más importante para ellas al tiempo que automatizan las tareas de seguridad de rutina. Más de 20,000 organizaciones de todo el mundo confían en Forcepoint. Con sede en Austin, Texas, con ventas en todo el mundo, servicio, laboratorios de seguridad y desarrollo de producto, Forcepoint es una empresa conjunta de Raytheon Company y Vista Equity Partners. Para consultar más información sobre Forcepoint, visite www.Forcepoint.com y síganos en Twitter en @ForcepointSec.