FBI doprowadziło chiński malware do autodestrukcji

Celem stał się PlugX – malware typu koń trojański, służący do przejmowania kontroli nad zdalnymi maszynami. Pierwsze trojany z tej rodziny pojawiły się w 2008 roku i od tamtego momentu stanowią nieustanne zagrożenie.
Andrzej Libiszewski
17.01.2025·0·Przeczytasz w 2 minuty
FBI doprowadziło chiński malware do autodestrukcji

PlugX na celowniku FBI

Jak podaje FBI i Departament Sprawiedliwości USA, podczas wielomiesięcznej operacji udało się doprowadzić do likwidacji jeden z wariantów szkodnika, opracowany przez zespół hackerów „Mustang Panda”. Złośliwe oprogramowanie zostało zaprojektowane do infiltracji, infekowania i kontrolowania tysięcy komputerów i sieci na całym świecie, wykorzystywano je w działaniach finansowanych przez chińskie władze.

Grupa Mustang Panda była aktywna od co najmniej 2014 roku, jak wynika z niedawno ujawnionego oświadczenia FBI. Jej celem były rządowe i prywatne organizacje biznesowe z siedzibą w USA, Europie i Azji, a także chińscy dysydenci. PlugX jest trojanem dyskretnym – nic nie zdradza, że maszyny są zainfekowane.

LUMI superkomputer Kajaani Finlandia

Do rozprawienia się z trojanem wykorzystano jedną z jego cech. Rodzina PlugX kontrolowana jest za pomocą zdalnych serwerów C2, za pomocą których szkodnikowi można wydawać polecenia. Mogą one dotyczyć przechwytywania informacji z zainfekowanych systemów, rejestrować zawartość ekranu, wysyłać zdarzenia klawiatury i myszy, restartować system, zarządzać usługami i rejestrem systemu Windows itp.

Czytaj też: Wpadli, bo zostawili po sobie cyfrowe ślady. W starciu z technologią przestępcy nie mają żadnych szans

Autodestrukcja na polecenie FBI

Podczas analizy, jaką przeprowadziło FBI wraz z francuskimi organami ścigania i specjalistami cyberbezpieczeństwa firmy Sekoia.io zdołało przeanalizować kod trojana i odkryć ukrytą w nim funkcję samozniszczenia, którą także można było wywołać ze zdalnego centrum dowodzenia i kontroli. Najważniejsze jednak, że adres IP serwera C2, który zarządzał siecią PlugX, był zaszyty na stałe w kodzie programu.

Dysponując tymi danymi, FBI zdołało przejąć kontrolę nad systemem, a co za tym idzie, nad trojanami. Od sierpnia 2024 r. FBI i Departament Sprawiedliwości uzyskali dziewięć nakazów wymaganych do zorganizowania operacji samozniszczenia PlugX. Sędzia zezwolił na usunięcie infekcji PlugX z około 4 258 komputerów z systemem Windows w ramach sieci zlokalizowanych w USA. Operacja została zakończona na początku tego miesiąca.

UdostępnijTwitter