ФБР заявляє, що змусило шкідливе ПЗ видалити себе з комп’ютерів американців

0
556 views
ФБР заявляє, що змусило шкідливе програмне забезпечення видалити себе з комп'ютерів американців

ФБР щойно закрило чорний хід до тисяч комп’ютерів, змусивши шкідливе програмне забезпечення видалити себе. Згідно з прес-релізом Міністерства юстиції, розвідувальне відомство змогло успішно змусити PlugX, шкідливе програмне забезпечення, що використовується китайськими державними хакерськими групами для крадіжки інформації у жертв, видалити себе з комп’ютерів своїх жертв.

За даними Malpedia, PlugX – це троян для віддаленого доступу, який існує щонайменше з 2008 року, і був улюбленим інструментом сумнозвісної китайської хакерської групи, яку часто називають “Mustang Panda” або “Twill Typhoon”, що використовувала його для зараження комп’ютерів у США, Азії та Європі. Шкідливе програмне забезпечення, яке зазвичай заражає жертв, що підключають заражений USB-накопичувач до комп’ютера, надає зловмисникам повний віддалений доступ до системи, включаючи можливість реєструвати натискання клавіш, перехоплювати активність на екрані та виконувати команди.

Для отримання інформації та надсилання команд на зламані комп’ютери шкідливе програмне забезпечення підключається до командно-контрольного сервера, яким керує хакерська група. За даними ФБР, з вересня 2023 року щонайменше 45 000 IP-адрес у США обмінювалися даними з командно-контрольним сервером.

Саме цей сервер дозволив ФБР нарешті знищити цей настирливий шматок шкідливого програмного забезпечення. Спочатку вони скористалися ноу-хау французьких спецслужб, які нещодавно відкрили техніку, що дозволяє PlugX самознищуватися. Потім ФБР отримало доступ до командно-контрольного сервера хакерів і за його допомогою запросило всі IP-адреси комп’ютерів, які були активно інфіковані PlugX. Потім через сервер було надіслано команду, яка змусила PlugX видалити себе з комп’ютерів жертв.

Саме так PlugX було видалено з понад 4 258 комп’ютерів по всій країні, повідомляє ФБР. Аналогічні операції, проведені правоохоронними органами-партнерами, очистили від шкідливого програмного забезпечення тисячі інших комп’ютерів по всьому світу.

Однак PlugX, ймовірно, далеко не мертвий. Фірма з кібербезпеки Sekoia виявила командно-контрольний сервер шкідливого програмного забезпечення ще у квітні 2024 року і повідомила, що протягом шести місяців він отримував пінги від 2 500 000 унікальних пристроїв зі 170 країн світу. Шкідливе програмне забезпечення було головним болем для експертів з безпеки і використовувалося для націлювання на широке коло жертв. За даними ФБР, в останні роки його використовували для зараження європейських судноплавних компаній, урядових установ по всій Європі та Індо-Тихоокеанському регіоні, а також китайських дисидентських груп. Наразі принаймні частина операцій PlugX була кастрована, тож це вже щось.