Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε σήμερα ότι το FBI διέγραψε το κινεζικό κακόβουλο λογισμικό PlugX από περισσότερους από 4.200 υπολογιστές σε δίκτυα στις Ηνωμένες Πολιτείες.
Το κακόβουλο λογισμικό, που ελέγχεται από την κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο Mustang Panda (επίσης παρακολουθείται ως Twill Typhoon), μόλυνε χιλιάδες συστήματα χρησιμοποιώντας μια παραλλαγή PlugX με ένα εξάρτημα με δυνατότητα wormable που του επέτρεπε να εξαπλωθεί μέσω μονάδων flash USB.
Σύμφωνα με δικαστικά έγγραφαο κατάλογος των θυμάτων που στοχοποιούνται χρησιμοποιώντας αυτό το κακόβουλο λογισμικό περιλαμβάνει «Ευρωπαϊκή ναυτιλιακή εταιρεία το 2024, πολλές ευρωπαϊκές κυβερνήσεις από το 2021 έως το 2023, παγκόσμιες κινεζικές ομάδες αντιφρονούντων και κυβερνήσεις σε όλο τον Ινδο-Ειρηνικό (π.χ. Ταϊβάν, Χονγκ Κονγκ, Ιαπωνία, Νότια Κορέα, Μογγολία, Ινδία, Μιανμάρ, Ινδονησία, Φιλιππίνες, Ταϊλάνδη, Βιετνάμ και Πακιστάν).
“Αφού μολύνει τον υπολογιστή-θύμα, το κακόβουλο λογισμικό παραμένει στο μηχάνημα (διατηρεί ανθεκτικό), εν μέρει δημιουργώντας κλειδιά μητρώου που εκτελούν αυτόματα την εφαρμογή PlugX κατά την εκκίνηση του υπολογιστή.” γράφει η ένορκη κατάθεση. “Οι ιδιοκτήτες υπολογιστών που έχουν μολυνθεί από κακόβουλο λογισμικό PlugX συνήθως δεν γνωρίζουν τη μόλυνση.”
Αυτή η ενέργεια που εγκρίθηκε από το δικαστήριο αποτελεί μέρος μιας παγκόσμιας επιχείρησης κατάργησης, υπό την ηγεσία της γαλλικής εταιρείας επιβολής του νόμου και ασφάλειας στον κυβερνοχώρο Sekoia. Η επιχείρηση ξεκίνησε τον Ιούλιο του 2024, όταν η γαλλική αστυνομία και η Europol αφαίρεσαν το κακόβουλο λογισμικό απομακρυσμένης πρόσβασης trojan από μολυσμένες συσκευές στη Γαλλία.
«Τον Αύγουστο του 2024, το Υπουργείο Δικαιοσύνης και το FBI έλαβαν το πρώτο από τα εννέα εντάλματα στην Ανατολική Περιφέρεια της Πενσυλβάνια που εξουσιοδοτεί τη διαγραφή του PlugX από υπολογιστές που εδρεύουν στις ΗΠΑ», το υπουργείο Δικαιοσύνης είπε σήμερα.
“Το τελευταίο από αυτά τα εντάλματα έληξε στις 3 Ιανουαρίου 2025, ολοκληρώνοντας έτσι τα τμήματα της επιχείρησης στις ΗΠΑ. Συνολικά, αυτή η εγκεκριμένη από το δικαστήριο επιχείρηση διέγραψε κακόβουλο λογισμικό PlugX από περίπου 4.258 υπολογιστές και δίκτυα με έδρα τις ΗΠΑ.”
Η εντολή που εστάλη σε μολυσμένους υπολογιστές από το FBI είπε στο κακόβουλο λογισμικό PlugX:
- Διαγράψτε τα αρχεία που δημιουργήθηκαν από το κακόβουλο λογισμικό PlugX στον υπολογιστή του θύματος,
- Διαγράψτε τα κλειδιά μητρώου PlugX που χρησιμοποιούνται για την αυτόματη εκτέλεση της εφαρμογής PlugX κατά την εκκίνηση του υπολογιστή-θύματος,
- Δημιουργήστε ένα προσωρινό αρχείο σεναρίου για να διαγράψετε την εφαρμογή PlugX μετά τη διακοπή της,
- Διακόψτε την εφαρμογή PlugX και
- Εκτελέστε το προσωρινό αρχείο για να διαγράψετε την εφαρμογή PlugX, διαγράψτε τον κατάλογο που δημιουργήθηκε στον υπολογιστή-θύμα από το κακόβουλο λογισμικό PlugX για να αποθηκεύσετε τα αρχεία PlugX και διαγράψτε το προσωρινό αρχείο από τον υπολογιστή-θύμα.
Το FBI ειδοποιεί τώρα τους ιδιοκτήτες υπολογιστών που εδρεύουν στις ΗΠΑ που έχουν καθαριστεί από τη μόλυνση PlugX μέσω των παρόχων υπηρεσιών διαδικτύου τους και λέει ότι η ενέργεια δεν συνέλεξε πληροφορίες από ούτε επηρέασε τις απολυμανθείσες συσκευές με οποιονδήποτε τρόπο.
Η εταιρεία κυβερνοασφάλειας Sekoia ανακάλυψε προηγουμένως ένα botnet συσκευών που είχαν μολυνθεί με την ίδια παραλλαγή PlugX, αναλαμβάνοντας τον έλεγχο του διακομιστή εντολών και ελέγχου (C2) στο 45.142.166[.]112 τον Απρίλιο του 2024. Ο Sekoia είπε ότι, σε διάστημα έξι μηνών, ο διακομιστής C2 του botnet λάμβανε έως και 100.000 ping από μολυσμένους κεντρικούς υπολογιστές καθημερινά και είχε 2.500.000 μοναδικές συνδέσεις από 170 χώρες.
Το PlugX έχει χρησιμοποιηθεί σε επιθέσεις τουλάχιστον από το 2008, κυρίως σε επιχειρήσεις κατασκοπείας στον κυβερνοχώρο και απομακρυσμένης πρόσβασης από ομάδες που συνδέονται με το κινεζικό Υπουργείο Κρατικής Ασφάλειας. Πολλές ομάδες απειλών το έχουν χρησιμοποιήσει για να στοχεύσουν κυβερνητικούς, αμυντικούς, τεχνολογικούς και πολιτικούς οργανισμούς, κυρίως στην Ασία και αργότερα επεκτείνονται στον υπόλοιπο κόσμο.
Ορισμένοι κατασκευαστές PlugX έχουν επίσης εντοπιστεί στο διαδίκτυο και ορισμένοι ερευνητές ασφαλείας πιστεύουν ότι ο πηγαίος κώδικας του κακόβουλου λογισμικού διέρρευσε γύρω στο 2015. Αυτό, σε συνδυασμό με τις πολλαπλές ενημερώσεις του εργαλείου, καθιστά πολύ δύσκολο να αποδοθεί η ανάπτυξη και η χρήση του κακόβουλου λογισμικού σε επιθέσεις σε έναν συγκεκριμένο παράγοντα απειλής ή ημερήσια διάταξη.
Το κακόβουλο λογισμικό PlugX διαθέτει εκτεταμένες δυνατότητες, όπως συλλογή πληροφοριών συστήματος, μεταφόρτωση και λήψη αρχείων, καταγραφή πληκτρολογήσεων και εκτέλεση εντολών.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
