Alors que les relations semblent actuellement se réchauffer entre les États-Unis et la Corée du Nord, le Federal Bureau of Investigation mène actuellement l’enquête sur un programme-espion lié aux services de renseignement nord-coréens, en collaboration avec le Bureau des enquêtes spéciales de l’armée de l’air (AFOSI).
La nouvelle a été annoncée plus tôt dans l’année par le Ministère de la justice américain. Baptisé « Joanap, » le programme a été repéré par le FBI et l’AFOSI depuis déjà plusieurs années, mais ce n’est que maintenant qu’une campagne a pu être menée à son encontre.
Le FBI et l’AFOSI ont obtenu un mandat qui va leur permettre de « cartographier » le programme afin de pouvoir le « perturber davantage » et en venir enfin à bout.
Cartographier le botnet
Grâce au mandat, le FBI et l’AFOSI ont pu collecter des métadonnées qui leur ont permis d’identifier les ordinateurs infectés par le programme malveillant : adresses IP, numéros de port, horodatages de connexion… C’est de cette manière qu’ils sont parvenus à cartographier le botnet puis à créer des serveurs capables d’imiter les balises du programme.
La prochaine étape consiste à informer les propriétaires des ordinateurs infectés par Joanap. Comme l’explique un porte-parole : « Le FBI avertit les victimes par le biais de leurs fournisseurs de services Internet et fournit une notification personnelle aux victimes dont les ordinateurs ne sont pas protégés par un routeur ou un pare-feu. »
Il est également prévu que les victimes de programmes malveillants qui vivent à l’étranger soient averties. Pour ce faire, le FBI va communiquer les données aux autres gouvernements.
Que sait-on de Joanap ?
L’existence de Joanap est connue des autorités américaines depuis 2009. Le botnet a été identifié dans le cadre du programme « Hidden Cobra » mené par le département de la Sécurité intérieure dans le but de lutter contre les tentatives de piratage nord-coréennes.
Il s’agit d’un outil d’accès à distance (RAT) dont les commandes sont transmises via des connexions poste-à-poste. Ce mode de fonctionnement en fait un programme-espion redoutable, car chaque ordinateur infecté devient une partie intégrante du système de commande et de contrôle du logiciel.
Le FBI et l’AFOSI réussiront-ils à relever ce défi ?