ABD Adalet Bakanlığı (DoJ) Salı günü, mahkemenin yetkilendirdiği bir operasyonla Federal Soruşturma Bürosu’nun (FBI), “birkaç ay süren yasa uygulama operasyonunun” bir parçası olarak PlugX kötü amaçlı yazılımını 4.250’den fazla virüslü bilgisayardan silmesine izin verdiğini açıkladı.
Korplug olarak da bilinen PlugX, Çin Halk Cumhuriyeti (PRC) ile bağlantılı tehdit aktörleri tarafından yaygın olarak kullanılan ve bilgi hırsızlığına ve ele geçirilen cihazların uzaktan kontrolüne olanak tanıyan bir uzaktan erişim truva atıdır (RAT).
FBI tarafından sunulan bir beyanda, tanımlanan PlugX varyantının, aynı zamanda BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately olarak da anılan Mustang Panda adlı devlet destekli bir bilgisayar korsanlığı grubuyla bağlantılı olduğu belirtildi. Boğa, TA416 ve Twill Typhoon.
Adalet Bakanlığı, “En az 2014’ten bu yana, Mustang Panda korsanları ABD’li kurbanların yanı sıra Avrupa ve Asya hükümetleri ve işletmeleri ile Çinli muhalif grupları hedef alan kampanyalarda binlerce bilgisayar sistemine sızdı” dedi.
Tehdit aktörlerinin kampanyalarının diğer hedeflerinden bazıları arasında Tayvan, Hong Kong, Japonya, Güney Kore, Moğolistan, Hindistan, Myanmar, Endonezya, Filipinler, Tayland, Vietnam ve Pakistan yer alıyor.
Kesinti, güvenliği ihlal edilmiş sistemleri PlugX kötü amaçlı yazılımlarından kurtarmak için Temmuz 2024’ün sonlarında başlayan daha büyük bir “dezenfeksiyon” çabasının bir parçası. Etkinliğin ayrıntıları daha önce Paris Savcılığı ve siber güvenlik firması Sekoia tarafından paylaşılmıştı.
Daha önce Sekoia tarafından detaylandırıldığı gibi, PlugX’in bu özel çeşidinin, bağlı USB aygıtları aracılığıyla diğer sistemlere yayıldığı biliniyor. Kötü amaçlı yazılım yüklendikten sonra saldırganın kontrol ettiği bir sunucuya (“45.142.166) işaret eder.[.]112”) ana bilgisayardan veri toplamak için daha fazla komut beklemek üzere kullanılır.
Nisan 2024’ün sonlarında şirket, söz konusu IP adresinde erişilebilen sunucuyu çökertmek için yalnızca 7 dolar harcadığını ve böylece kötü amaçlı yazılımın bulaştığı makinelerden silinmesi için kendi kendini silme komutunun verilmesine kapıyı açtığını da açıkladı.
Komut aşağıda listelenen adımları gerçekleştirdi:
- Kurban bilgisayarında PlugX kötü amaçlı yazılımının oluşturduğu dosyaları silin
- Kurban bilgisayar başlatıldığında PlugX uygulamasını otomatik olarak çalıştırmak için kullanılan PlugX kayıt defteri anahtarlarını silin
- PlugX uygulamasını durdurulduktan sonra silmek için geçici bir komut dosyası oluşturun
- PlugX uygulamasını durdurun
- PlugX uygulamasını silmek için geçici dosyayı çalıştırın, PlugX dosyalarını depolamak için PlugX kötü amaçlı yazılımının kurbanın bilgisayarında oluşturduğu dizini silin ve geçici dosyayı kurbanın bilgisayarından silin.
FBI, kendi kendini silme komutunun ABD’de bulunan hedeflenen cihazlardaki herhangi bir yasal işlevi veya dosyayı etkilemediğini veya bu cihazlardan başka herhangi bir veri aktarmadığını söyledi.
Geçtiğimiz ay Sekoia, 10 ülke için PlugX dezenfeksiyon sürecini yürütmek üzere oluşturulan yasal çerçevenin bir parçası olarak 5.539 IP adresini hedefleyen 59.475 kadar dezenfeksiyon yükünün verildiğini söyledi.
Başsavcı Yardımcısı Matthew G. Olsen, “Amerika Birleşik Devletleri’ndeki pek çok ev bilgisayarı da dahil olmak üzere binlerce Windows tabanlı bilgisayara yönelik bu geniş kapsamlı saldırı ve uzun vadeli enfeksiyon, ÇHC devlet destekli bilgisayar korsanlarının pervasızlığını ve saldırganlığını gösteriyor” dedi. Adalet Bakanlığı’nın N