Fransız polisi ve Europol, Fransa’daki enfekte cihazlardan PlugX zararlı yazılımını otomatik olarak temizleyen bir “dezenfeksiyon çözümü” yayınlıyor.
Operasyon, Ulusal Jandarma’ya bağlı Dijital Suçla Mücadele Merkezi (C3N) tarafından, geçen nisan ayında yaygın olarak dağıtılan bir PlugX varyantına ait komuta ve kontrol sunucusunu çökerten Fransız siber güvenlik firması Sekoia’nın yardımıyla yürütülüyor.
PlugX, uzun süredir birden fazla Çinli tehdit aktörü tarafından dağıtılan bir uzaktan erişim trojanıdır. Yeni varyantlar, kötü amaçlı bir kampanyanın operasyonel ihtiyaçlarına göre değiştirilir ve yayınlanır.
Siber güvenlik firması Sekoia daha önce USB flash sürücüler aracılığıyla yayılan bir PlugX varyantı için bir botnet bildirmişti. Bu botnet orijinal operatörü tarafından terk edildi ancak bağımsız olarak yayılmaya devam etti ve yaklaşık 2,5 milyon cihazı etkiledi.
Sekoia, günlük olarak enfekte olmuş bilgisayarlardan 100.000’e kadar ping alan ve altı ay boyunca 170 ülkeden 2.500.000 benzersiz bağlantıya sahip terk edilmiş komuta ve kontrol sunucularının kontrolünü ele geçirdi.
Güvenlik firması, PlugX botnet’ini, enfekte cihazlara komut vermek için kullanılamayacak şekilde çökertti. Ancak, kötü amaçlı yazılım insanların sistemlerinde aktif kaldı ve kötü niyetli aktörlerin botnet’i kontrol altına alıp enfeksiyonları yeniden canlandırması riskini artırdı.
Sekoia, enfekte cihazlara gönderilen ve enfeksiyonu kaldıran bir kendi kendini silme komutu veren özel bir PlugX eklentisi kullanan bir temizleme mekanizması önerdi.
Araştırmacılar ayrıca bağlı USB flash sürücülerini kötü amaçlı yazılım açısından tarayıp kaldırmak için bir yöntem önerdiler. Ancak USB sürücülerini otomatik olarak temizlemek medyaya zarar verebilir ve meşru dosyalara erişimi engelleyebilir, bu da yaklaşımı riskli hale getirir.
Bu yaklaşımın müdahaleci olması ve yasal sonuçlara yol açabilmesi nedeniyle araştırmacılar çözümlerini kolluk kuvvetleriyle paylaştı.
Sekoia, Nisan ayındaki raporunda, “Sahip olmadığımız iş istasyonlarına keyfi bir komut gönderilmesini içeren yaygın bir dezenfeksiyon kampanyası yürütmekten kaynaklanabilecek olası yasal zorluklar göz önüne alındığında, iş istasyonlarının ilgili ülkelerde dezenfekte edilip edilmeyeceğine ilişkin kararı ulusal Bilgisayar Acil Durum Müdahale Ekipleri (CERT’ler), Kolluk Kuvvetleri (LEA’lar) ve siber güvenlik yetkililerinin takdirine bırakmaya karar verdik” açıklamasında bulundu.
Fransız cihazlarının temizlenmesi
C3N’in haberine göre, Europol, Sekoia’dan bir dezenfeksiyon çözümü aldı ve bu çözüm, ortak ülkelerle paylaşılarak, ülkelerindeki cihazlardan kötü amaçlı yazılımların temizlenmesi sağlanıyor.
Sekoia, BleepingComputer’a çözüm hakkında detay paylaşamayacaklarını söylerken, bunun raporlarında anlattıkları PlugX modülüne benzer bir çözüm olması muhtemel.
Paris 2024 Olimpiyat Oyunları yaklaşırken, siber güvenlik alanındaki tüm paydaşlar da dahil olmak üzere Fransız yetkililer yüksek alarma geçti, bu nedenle Fransa’daki 3.000 sistemde bulunan PlugX riski kabul edilemez olarak değerlendirildi.
Bu nedenle, PlugX yükleri artık Fransa’daki, ancak aynı zamanda Malta, Portekiz, Hırvatistan, Slovakya ve Avusturya’daki enfekte sistemlerden kaldırılıyor.
Dezenfeksiyon çalışmasının 18 Temmuz 2024 tarihinde başlaması ve birkaç ay sürmesi, muhtemelen 2024 yılı sonlarında sona ermesi bekleniyor.
Kaynak: Paris Savcılığı | LinkedIn
Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), Fransa’daki mağdurlara temizleme süreci ve bunun onları nasıl etkilediği hakkında bireysel olarak bilgi verecek.
Bu özel PlugX varyantının virüslü USB sürücüler aracılığıyla yayıldığını ve Sekoia’nın çözümünün çıkarılabilir medyadan kötü amaçlı yazılımı kaldırma özelliğini içerip içermediğinin bilinmediğini belirtmekte fayda var.
İnsanların, günlük olarak çok sayıda fiziksel bağlantının gerçekleştiği matbaalar ve diğer yerlerdeki sistemlere USB belleklerini takarken dikkatli olmaları ve hassas verilerin bulunduğu sistemlere bağlamadan önce cihazlarını taramaları tavsiye ediliyor.
BleepingComputer, dezenfeksiyon solüsyonuyla ilgili sorularını Europol ve Fransız yetkililerle paylaştı ancak henüz bir yanıt alamadı.
