Новости ИБ

Французские власти уничтожают PlugX на зараженных устройствах

Французская полиция и Европол сообщили, что распространяют «решение для дезинфекции», которое автоматически удаляет малварь PlugX с зараженных устройств во Франции.

Операция проводится правоохранителями в сотрудничестве с французской компанией Sekoia, специалисты которой смогли обнаружили и осуществить sinkhole управляющего сервера заброшенной версии PlugX в апреле текущего года.

Троян удаленного доступа PlugX уже давно используется различными китайскими хак-группами в своих атаках. Новые варианты обычно появляются в зависимости от нужд конкретной вредоносной кампании. В целом ИБ-экспертам было известно о существовании PlugX с 2008 года, и считается, что вредонос был разработан в Китае и использовался различными «правительственными» хак-группами.

Напомним, что в апреле специалисты Sekoia обнаружили управляющий сервер одного из вариантов PlugX, который распространялся через USB-накопители. Этот ботнет был заброшен операторами, однако продолжал распространяться, подобно червю и заразил около 2,5 млн устройств.

Тогда эксперты взяли под контроль заброшенные управляющие серверы малвари, которые ежедневно получали до 100 000 запросов с зараженных хостов, а в общей сложности за полгода с ними связались около 2,5 млн уникальных IP-адресов из 170 стран мира.

Хотя компания успешно осуществила sinkhole управляющих серверов этой версии PlugX, чтобы те не могли использоваться для передачи команд зараженным девайсам, малварь все же оставалась активной в зараженных системах, увеличивая риски того, что злоумышленники могут снова взять ботнет под свой контроль и возобновить атаки.

В результате эксперты Sekoia разработали механизм очистки зараженных устройств, который использует кастомный плагин для PlugX, устанавливаемый на зараженные устройства и дающий вредоносу команду на самоуничтожение.

Также исследователи предложили способ проверки подключенных USB-накопителей на наличие вредоносного ПО (с целью его удаления). Однако автоматическая очистка USB-накопителей могла повредить носитель и помешать доступу к легитимным файлам, так что этот подход был признан слишком рискованным.

Так как удаление PlugX с зараженных устройств могло повлечь за собой юридические последствия, исследователи поделились своими решениями с правоохранительными органами.

«Учитывая потенциальные юридические проблемы, которые могут возникнуть при проведении широкомасштабной кампании по очистке [зараженных систем], предполагающей отправку произвольной команды на рабочие станции, которые нам не принадлежат, мы решили оставить решение этого вопроса на усмотрение региональных CERT, правоохранительных органов и органов кибербезопасности», — писали специалисты Sekoia в своем апрельском отчете.

Как сообщается теперь, Европол уже получил от Sekoia решение для очисти устройств от заражения, и оно уже передается странам-партнерам для удаления вредоносного ПО.

В связи с Олимпийскими играми 2024 года, которые стартуют в Париже на этой неделе, французские власти, признали неприемлемым риск, исходящий от 3000 зараженных PlugX систем, найденных во Франции.

Поэтому теперь PlugX удаляется из зараженных систем во Франции, а также на Мальте, в Португалии, Хорватии, Словакии и Австрии. Операция по удалению малвари началась 18 июля 2024 года и, ожидается, что она продлится несколько месяцев, завершившись к концу 2024 года.

Французское Национальное агентство по безопасности информационных систем (ANSSI) будет индивидуально уведомлять всех жертв PlugX во Франции о процессе очистки их устройств и о том, какое влияние это оказывает.

Источник: Хакер

2024-07-26 16:08 Новости