Poliția franceză și Europol împing o „soluție de dezinfectare” care îndepărtează automat malware-ul PlugX de pe dispozitivele infectate din Franța.
Operațiunea este condusă de Centrul pentru Combaterea Criminalității Digitale (C3N) al Gendarmeriei Naționale, cu asistența firmei franceze de securitate cibernetică Sekoia, care a blocat un server de comandă și control pentru o variantă larg distribuită a lui PlugX în luna aprilie.
PlugX este un troian de acces remote care a fost utilizat de mai multe grupuri de amenințare chinezești de-a lungul timpului. Noile variante sunt modificate și lansate în funcție de nevoile operaționale ale unei campanii malicioase.
Firma de securitate cibernetică Sekoia a raportat anterior despre un botnet pentru o variantă a lui PlugX care s-a răspândit prin stick-uri USB. Acest botnet a fost abandonat de operatorul său original, însă a continuat să se răspândească independent, infectând aproape 2,5 milioane de dispozitive.
Sekoia a preluat controlul serverelor de comandă și control abandonate, care primeau până la 100.000 de ping-uri zilnic de la gazdele infectate și aveau 2.500.000 de conexiuni unice din 170 de țări în decurs de șase luni.
Firma de securitate a blocat botnetul PlugX pentru a nu mai putea fi folosit pentru a emite comenzi către dispozitivele infectate. Cu toate acestea, malware-ul a rămas activ pe sistemele oamenilor, crescând riscul ca actorii malicioși să preia controlul botnetului și să reînvie infecțiile.
Sekoia a propus un mecanism de curățare care folosește un plugin personalizat PlugX trimis către dispozitivele infectate pentru a emite o comandă de auto-ștergere care elimină infecția.
Cercetătorii au propus, de asemenea, o metodă de scanare a stick-urilor USB conectate pentru malware și eliminarea acestuia. Cu toate acestea, curățarea automată a stick-urilor USB ar putea deteriora mediul și ar putea împiedica accesul la fișiere legitime, făcând abordarea riscantă.
Deoarece această abordare este intruzivă și ar putea duce la consecințe legale, cercetătorii au împărtășit soluția lor cu forțele de ordine.
Conform C3N, Europol a primit o soluție de dezinfectare de la Sekoia, care este distribuită țărilor partenere pentru a elimina malware-ul de pe dispozitivele din țările lor.
În timp ce Sekoia a declarat pentru BleepingComputer că nu pot oferi detalii despre soluție, este probabil ca soluția să fie similară cu modulul PlugX pe care l-au descris în raportul lor.
În contextul Jocurilor Olimpice de la Paris 2024, autoritățile franceze, inclusiv toți actorii din domeniul securității cibernetice, sunt în alertă maximă, astfel încât riscul ca PlugX să fie descoperit în 3.000 de sisteme din Franța a fost considerat inacceptabil.
Prin urmare, payload-urile PlugX sunt acum eliminate din sistemele infectate din Franța, dar și din Malta, Portugalia, Croația, Slovacia și Austria.
Operațiunea de dezinfectare a început la 18 iulie 2024 și se așteaptă să continue pentru câteva luni, posibil până la sfârșitul anului 2024.
Agenția Națională pentru Securitatea Sistemelor de Informații (ANSSI) va notifica individual victimele din Franța cu privire la procesul de curățare și modul în care îi afectează.
Este important de menționat că această variantă specifică a lui PlugX se răspândește prin stick-uri USB infectate și nu se știe dacă soluția Sekoia include capacitatea de a elimina malware-ul din media detașabilă.
Oamenilor li se recomandă să fie precauți atunci când conectează stick-urile USB în sistemele din magazinele de imprimare și alte locuri care primesc multe conexiuni fizice zilnic și să-și scaneze dispozitivele ulterior înainte de a le conecta la sistemele care dețin date sensibile.
BleepingComputer a contactat Europol și autoritățile franceze cu întrebări despre soluția de dezinfectare, dar nu a primit încă un răspuns.
Leave a Reply