✔ФБР удаленно очистило от червя PlugX более 4000 зараженных машин - «Новости»

16 января 2025 566 Новости / Преимущества стилей / Отступы и поля / Заработок / Добавления стилей / Вёрстка / Текст / Изображения / Самоучитель CSS 0

ФБР заявило, что удалило китайскую малварь PlugX с 4258 зараженных компьютеров, обнаруженных в сетях по всей территории США.

Впервые об этой версии PlugX стало известно в 2023 году, из отчета компании Sophos. Тогда исследователи рассказывали, что малварь активизировалась еще в 2019 году, и PlugX обзавелся функциональностью, которая позволяла ему автоматически заражать USB-накопители. Такие зараженные накопители атаковали любую новую машину, к которой подключались, что позволяло вредоносу распространяться самостоятельно, без вмешательства пользователей.

В целом ИБ-экспертам было известно о существовании PlugX с 2008 года. Считается, что этот вредонос был создан в Китае и использовался различными «правительственными» хак-группами. Правоохранители напоминают, что за этой разновидность малвари стоит китайская шпионская хак-группа Mustang Panda (она же Twill Typhoon), которая в итоге заразила червем PlugX тысячи систем.

Согласно судебным документам, в числе жертв малвари числятся: «европейские судоходные компании, атакованные в 2024 году, несколько европейских правительственных учреждений, атакованные в период с 2021 по 2023 год, китайские диссиденты по всему миру, а также правительства стран Индо-Тихоокеанского региона (например, Тайваня, Гонконга, Японии, Южной Кореи, Монголии, Индии, Мьянмы, Индонезии, Филиппин, Таиланда, Вьетнама и Пакистана)».

«После заражения компьютера-жертвы вредоносная программа остается на нем, в том числе благодаря созданию ключей в реестре, которые автоматически запускают приложение PlugX при запуске компьютера, — объясняют правоохранители. — Владельцы зараженных PlugX компьютеров, как правило, даже не знают о заражении».

Очистка зараженных машин в США от малвари, разрешение на которую санкционировал суд, является частью международной операции по уничтожению PlugX, возглавляемой французскими правоохранительными органами и ИБ-компанией Sekoia.

Эта операция началась в июле 2024 года, когда французская полиция и Европол уничтожили малварь на зараженных устройствах на территории Франции. Дело в том, что незадолго до этого, в апреле прошлого года эксперты Sekoia сумели взять под свой контроль управляющую инфраструктуру малвари. Тогда выяснилось, что c севером PlugX каждый день связываются от 90 000 до 100 000 уникальных IP-адресов, а в общей сложности за полгода исследователи зафиксировали около 2,5 млн запросов с уникальных IP-адресов в 170 странах мира.

Как теперь сообщило Министерство юстиции США, первый ордер на удаление PlugX с компьютеров, расположенных в США, был получен еще в августе 2024 года, а срок действия последнего из аналогичных ордеров истек 3 января 2025 года, тем самым завершив американскую часть операции.

Специалисты ФБР удаленно передали червю следующие команды:

удалить файлы, созданные PlugX на компьютере жертвы;

удалить ключи реестра PlugX, используемые для автоматического запуска приложения при запуске зараженной машины;

создать временный скрипт для удаления PlugX после его остановки;

остановить приложение PlugX и запустить временный скрипт для удаления;

удалить каталог, созданный малварью для хранения файлов, а также удалить временный файл с компьютера жертвы.

В настоящее время ФБР уведомляет владельцев очищенных от PlugX компьютеров о произошедшем через их интернет-провайдеров. Подчеркивается, что при удалении вредоноса не были собраны никакие данные, и удаление оказало никакого влияния на сами устройства.

ФБР заявило, что удалило китайскую малварь PlugX с 4258 зараженных компьютеров, обнаруженных в сетях по всей территории США. Впервые об этой версии PlugX стало известно в 2023 году, из отчета компании Sophos. Тогда исследователи рассказывали, что малварь активизировалась еще в 2019 году, и PlugX обзавелся функциональностью, которая позволяла ему автоматически заражать USB-накопители. Такие зараженные накопители атаковали любую новую машину, к которой подключались, что позволяло вредоносу распространяться самостоятельно, без вмешательства пользователей. В целом ИБ-экспертам было известно о существовании PlugX с 2008 года. Считается, что этот вредонос был создан в Китае и использовался различными «правительственными» хак-группами. Правоохранители напоминают, что за этой разновидность малвари стоит китайская шпионская хак-группа Mustang Panda (она же Twill Typhoon), которая в итоге заразила червем PlugX тысячи систем. Согласно судебным документам, в числе жертв малвари числятся: «европейские судоходные компании, атакованные в 2024 году, несколько европейских правительственных учреждений, атакованные в период с 2021 по 2023 год, китайские диссиденты по всему миру, а также правительства стран Индо-Тихоокеанского региона (например, Тайваня, Гонконга, Японии, Южной Кореи, Монголии, Индии, Мьянмы, Индонезии, Филиппин, Таиланда, Вьетнама и Пакистана)». «После заражения компьютера-жертвы вредоносная программа остается на нем, в том числе благодаря созданию ключей в реестре, которые автоматически запускают приложение PlugX при запуске компьютера, — объясняют правоохранители. — Владельцы зараженных PlugX компьютеров, как правило, даже не знают о заражении». Очистка зараженных машин в США от малвари, разрешение на которую санкционировал суд, является частью международной операции по уничтожению PlugX, возглавляемой французскими правоохранительными органами и ИБ-компанией Sekoia. Эта операция началась в июле 2024 года, когда французская полиция и Европол уничтожили малварь на зараженных устройствах на территории Франции. Дело в том, что незадолго до этого, в апреле прошлого года эксперты Sekoia сумели взять под свой контроль управляющую инфраструктуру малвари. Тогда выяснилось, что c севером PlugX каждый день связываются от 90 000 до 100 000 уникальных IP-адресов, а в общей сложности за полгода исследователи зафиксировали около 2,5 млн запросов с уникальных IP-адресов в 170 странах мира. Как теперь сообщило Министерство юстиции США, первый ордер на удаление PlugX с компьютеров, расположенных в США, был получен еще в августе 2024 года, а срок действия последнего из аналогичных ордеров истек 3 января 2025 года, тем самым завершив американскую часть операции. Специалисты ФБР удаленно передали червю следующие команды: удалить файлы, созданные PlugX на компьютере жертвы; удалить ключи реестра PlugX, используемые для автоматического запуска приложения при запуске зараженной машины; создать временный скрипт для удаления PlugX после его остановки; остановить приложение PlugX и запустить временный скрипт для удаления; удалить каталог, созданный малварью для хранения файлов, а также удалить временный файл с компьютера жертвы. В настоящее время ФБР уведомляет владельцев очищенных от PlugX компьютеров о произошедшем через их интернет-провайдеров. Подчеркивается, что при удалении вредоноса не были собраны никакие данные, и удаление оказало никакого влияния на сами устройства.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.