Категория > Новости > Французские власти уничтожают PlugX на зараженных устройствах - «Новости»

Французские власти уничтожают PlugX на зараженных устройствах - «Новости»


27-07-2024, 00:00. Автор: Платон

Французская полиция и Европол сообщили, что распространяют «решение для дезинфекции», которое автоматически удаляет малварь PlugX с зараженных устройств во Франции.


Операция проводится правоохранителями в сотрудничестве с французской компанией Sekoia, специалисты которой смогли обнаружили и осуществить sinkhole управляющего сервера заброшенной версии PlugX в апреле текущего года.


Троян удаленного доступа PlugX уже давно используется различными китайскими хак-группами в своих атаках. Новые варианты обычно появляются в зависимости от нужд конкретной вредоносной кампании. В целом ИБ-экспертам было известно о существовании PlugX с 2008 года, и считается, что вредонос был разработан в Китае и использовался различными «правительственными» хак-группами.


Напомним, что в апреле специалисты Sekoia обнаружили управляющий сервер одного из вариантов PlugX, который распространялся через USB-накопители. Этот ботнет был заброшен операторами, однако продолжал распространяться, подобно червю и заразил около 2,5 млн устройств.


Тогда эксперты взяли под контроль заброшенные управляющие серверы малвари, которые ежедневно получали до 100 000 запросов с зараженных хостов, а в общей сложности за полгода с ними связались около 2,5 млн уникальных IP-адресов из 170 стран мира.


Хотя компания успешно осуществила sinkhole управляющих серверов этой версии PlugX, чтобы те не могли использоваться для передачи команд зараженным девайсам, малварь все же оставалась активной в зараженных системах, увеличивая риски того, что злоумышленники могут снова взять ботнет под свой контроль и возобновить атаки.


В результате эксперты Sekoia разработали механизм очистки зараженных устройств, который использует кастомный плагин для PlugX, устанавливаемый на зараженные устройства и дающий вредоносу команду на самоуничтожение.


Также исследователи предложили способ проверки подключенных USB-накопителей на наличие вредоносного ПО (с целью его удаления). Однако автоматическая очистка USB-накопителей могла повредить носитель и помешать доступу к легитимным файлам, так что этот подход был признан слишком рискованным.


Так как удаление PlugX с зараженных устройств могло повлечь за собой юридические последствия, исследователи поделились своими решениями с правоохранительными органами.


«Учитывая потенциальные юридические проблемы, которые могут возникнуть при проведении широкомасштабной кампании по очистке [зараженных систем], предполагающей отправку произвольной команды на рабочие станции, которые нам не принадлежат, мы решили оставить решение этого вопроса на усмотрение региональных CERT, правоохранительных органов и органов кибербезопасности», — писали специалисты Sekoia в своем апрельском отчете.


Как сообщается теперь, Европол уже получил от Sekoia решение для очисти устройств от заражения, и оно уже передается странам-партнерам для удаления вредоносного ПО.


В связи с Олимпийскими играми 2024 года, которые стартуют в Париже на этой неделе, французские власти, признали неприемлемым риск, исходящий от 3000 зараженных PlugX систем, найденных во Франции.


Поэтому теперь PlugX удаляется из зараженных систем во Франции, а также на Мальте, в Португалии, Хорватии, Словакии и Австрии. Операция по удалению малвари началась 18 июля 2024 года и, ожидается, что она продлится несколько месяцев, завершившись к концу 2024 года.





Французское Национальное агентство по безопасности информационных систем (ANSSI) будет индивидуально уведомлять всех жертв PlugX во Франции о процессе очистки их устройств и о том, какое влияние это оказывает.


Перейти обратно к новости