ABD Adalet Bakanlığı bugün FBI’ın Çin PlugX kötü amaçlı yazılımını ABD genelindeki ağlarda bulunan 4.200’den fazla bilgisayardan sildiğini duyurdu.
Çinli siber casusluk grubu Mustang Panda (aynı zamanda Twill Typhoon olarak da izleniyor) tarafından kontrol edilen kötü amaçlı yazılım, USB flash sürücüler aracılığıyla yayılmasına izin veren solucanlanabilir bir bileşen içeren bir PlugX varyantı kullanan binlerce sisteme bulaştı.
Mahkeme belgelerine göre, bu kötü amaçlı yazılım kullanılarak hedeflenen kurbanların listesi “2024’te Avrupalı nakliye şirketlerini, 2021’den 2023’e kadar çeşitli Avrupa Hükümetlerini, dünya çapındaki Çinli muhalif grupları ve Hint-Pasifik’teki hükümetleri (örneğin Tayvan, Hong Kong, Japonya) içeriyor.” , Güney Kore, Moğolistan, Hindistan, Myanmar, Endonezya, Filipinler, Tayland, Vietnam ve Pakistan).
Yeminli beyanda, “Kurbanın bilgisayarına bulaştığında, kötü amaçlı yazılım, kısmen bilgisayar başlatıldığında PlugX uygulamasını otomatik olarak çalıştıran kayıt defteri anahtarları oluşturarak makinede kalır (kalıcılığını korur),” yazıyor. “PlugX kötü amaçlı yazılımının bulaştığı bilgisayarların sahipleri genellikle bulaşmanın farkında değil.”
Mahkemenin onayladığı bu eylem, Fransız kolluk kuvvetleri ve siber güvenlik şirketi Sekoia tarafından yürütülen küresel bir yayından kaldırma operasyonunun bir parçası. Operasyon, Fransız polisi ve Europol’ün Fransa’daki virüslü cihazlardan uzaktan erişim truva atı kötü amaçlı yazılımını kaldırdığı Temmuz 2024’te başladı.
Adalet Bakanlığı bugün yaptığı açıklamada, “Ağustos 2024’te Adalet Bakanlığı ve FBI, Pensilvanya’nın Doğu Bölgesi’nde PlugX’in ABD merkezli bilgisayarlardan silinmesine izin veren dokuz tutuklama emrinden ilkini aldı.” dedi.
“Bu izinlerin sonuncusu 3 Ocak 2025’te sona erdi ve böylece operasyonun ABD’deki kısımları sona erdi. Toplamda, mahkemenin yetkilendirdiği bu operasyon, PlugX kötü amaçlı yazılımını ABD merkezli yaklaşık 4.258 bilgisayar ve ağdan sildi.”
FBI tarafından virüslü bilgisayarlara gönderilen komutta PlugX kötü amaçlı yazılımına şunlar söylendi:
- Kurbanın bilgisayarında PlugX kötü amaçlı yazılımının oluşturduğu dosyaları silin,
- Kurban bilgisayar başlatıldığında PlugX uygulamasını otomatik olarak çalıştırmak için kullanılan PlugX kayıt anahtarlarını silin,
- PlugX uygulamasını durdurulduktan sonra silmek için geçici bir komut dosyası oluşturun,
- PlugX uygulamasını durdurun ve
- PlugX uygulamasını silmek için geçici dosyayı çalıştırın, PlugX dosyalarını depolamak için PlugX kötü amaçlı yazılımının kurban bilgisayarda oluşturduğu dizini silin ve geçici dosyayı kurban bilgisayardan silin.
FBI şimdi, PlugX enfeksiyonundan temizlenen ABD merkezli bilgisayarların sahiplerini internet servis sağlayıcıları aracılığıyla bilgilendiriyor ve eylemin, dezenfekte edilen cihazlardan hiçbir şekilde bilgi toplamadığını veya bu cihazları etkilemediğini söylüyor.
Siber güvenlik firması Sekoia daha önce aynı PlugX varyantının bulaştığı cihazlardan oluşan bir botnet keşfetti ve 45.142.166’daki komuta ve kontrol (C2) sunucusunun kontrolünü ele geçirdi.[.]Sekoia, altı ay boyunca botnet’in C2 sunucusunun virüslü ana bilgisayarlardan günde 100.000’e kadar ping aldığını ve 170 ülkeden 2.500.000 benzersiz bağlantıya sahip olduğunu söyledi.
PlugX, en az 2008’den bu yana, çoğunlukla Çin Devlet Güvenlik Bakanlığı’na bağlı grupların siber casusluk ve uzaktan erişim operasyonlarında saldırılarda kullanılıyor. Pek çok tehdit grubu bunu başta Asya olmak üzere hükümet, savunma, teknoloji ve siyasi kuruluşları hedef almak için kullandı ve daha sonra dünyanın geri kalanına yayıldı.
Bazı PlugX oluşturucuları çevrimiçi olarak da tespit edildi ve bazı güvenlik araştırmacıları, kötü amaçlı yazılımın kaynak kodunun 2015 civarında sızdırıldığına inanıyor. Bu, aracın birden fazla güncellemesiyle birleştiğinde, kötü amaçlı yazılımın geliştirilmesini ve saldırılarda kullanılmasını belirli bir tehdit aktörüne veya saldırılarda kullanmasını çok zorlaştırıyor. gündem.
PlugX kötü amaçlı yazılımı, sistem bilgilerini toplama, dosyaları yükleme ve indirme, tuş vuruşlarını günlüğe kaydetme ve komutları yürütme dahil olmak üzere kapsamlı yeteneklere sahiptir.