ФБР «удалит» это неприятное вредоносное ПО, поразившее 2,5 миллиона компьютеров

15 января, 2025 Дядя Влад

Человек в окружении нескольких компьютеров печатает на ноутбуке. — Цифровые тенденции

Вредоносное ПО, происходящее из Китая, теперь локализовано после того, как ФБР добилось постановления суда об удалении вредоносного кода с тысяч компьютеров под управлением Windows.

Агентство успешно положило конец господству вредоносного ПО PlugX в США, которое затронуло более 2,5 миллионов устройств по всему миру, проникнув в зараженные USB-накопители, отмечает PCMag .

Сотрудничая с ФБР, Министерство юстиции подтвердило, что по состоянию на вторник ему была предоставлена санкция суда на удаление вредоносного ПО почти с 4260 компьютеров и сетей в США. После объявления резолюции ФБР намерено уведомлять владельцев зараженных компьютеров через своих интернет-провайдеров.

Это всего лишь один пример того, как федеральные ведомства получают контроль над серьезным риском кибербезопасности . Однако в его резолюции отмечается важность продолжающихся исследований в области кибербезопасности. Министерство юстиции уточнило, что за атакой стоит частная группа спонсируемых китайским государством хакеров под названием «Мустанг Панда», которая разработала уникальную версию вредоносного ПО PlugX для текущей миссии.

Впервые PlugX появился в 2008 году, когда он использовался в качестве бэкдора, позволяющего злоумышленникам тайно управлять компьютерами под управлением Windows. К 2020 году вредоносное ПО было обновлено, чтобы позволить ему проникать в USB-накопители, а также в подключенные компьютеры. Это описывается как вредоносное ПО, способное передаваться между компьютерами через зараженные периферийные устройства.

Французский поставщик кибербезопасности Sekoia заметил, что Mustang Panda в конечном итоге не хватило ресурсов для поддержки того количества компьютеров, которые он заразил вредоносным ПО PlugX, и в конечном итоге отказался от проекта.

Аналогичным образом, поставщик антивирусов Sophos обнаружил несколько заражений PlugX, исходящих из одного источника IP-адреса. В сентябре 2023 года, сотрудничая с Sekoia, поставщик кибербезопасности заплатил всего 7 долларов за доступ к IP-адресу и зараженным машинам. Дальнейшие исследования обнаружили в коде PlugX команду самоудаления.

В июле 2024 года правоохранительные органы Франции разрешили использовать механизм самоудаления для лечения зараженных машин. С тех пор этому примеру последовали еще 22 страны.

Хотя неясно, как американские организации планируют удалять вредоносное ПО с домашних компьютеров, ФБР в письменных показаниях заявило, что оно протестировало эту команду самоудаления, подтвердив, что она только удаляет вредоносное ПО и не влияет на какие-либо другие функции устройства или передавать любой другой негарантированный код.