FBI, PlugX kötü amaçlı yazılımını dünya çapında binlerce virüslü bilgisayardan kaldırdığını açıkladı.
Hareket, Çin Halk Cumhuriyeti’nin (PRC) kontrolü altındaki siber suçlu gruplarının kurbanların bilgisayarlarını kontrol etmek ve bilgisayarlarındaki bilgileri çalmak için PlugX kötü amaçlı yazılımının bir sürümünü kullandığı yönündeki şüphelerin ardından geldi.
PlugX en az 2008’den beri var ancak sürekli geliştirilme aşamasındadır. Suçlulara sağladığı uzaktan erişim sayesinde, genellikle kullanıcıları gözetlemek ve ilginç sistemlere ek kötü amaçlı yazılım yerleştirmek için kullanılıyor.
Diğerlerinin yanı sıra, PlugX Uzaktan Erişim Truva Atı (RAT), geçen yıl ortaya çıkarılan ve “Kadife Karınca” olarak bilinen Çinli bir grubun, ağlara erişim sağlamak için güvenliği ihlal edilmiş F5 BIG-IP cihazlarını kullandığı ve yıllarca gizli kalmayı başardığı kalıcı bir kampanyada kullanıldı. .
Pensilvanya Doğu Bölgesi ABD Avukatı Jacqueline Romero şu yorumu yaptı:
“Amerika Birleşik Devletleri’ndeki birçok ev bilgisayarı da dahil olmak üzere binlerce Windows tabanlı bilgisayara yönelik bu geniş kapsamlı saldırı ve uzun vadeli enfeksiyon, ÇHC devlet destekli bilgisayar korsanlarının pervasızlığını ve saldırganlığını gösteriyor.”
Araştırmacılar binlerce virüslü makinenin belirli bir IP adresine rapor verdiğini öğrendikten sonra, Komuta ve Kontrol (C2) sunucusu olarak hizmet veren IP adresi üzerindeki kontrolü ele geçirmeyi başardılar.
Fransız yetkililerle yakın işbirliği içinde olan FBI ve Adalet Bakanlığı, bu IP adresini botnet’i “çukurlamak” için kullandı. Bu bağlamda obruklama, trafiğin orijinal varış noktasından, obruk sahipleri tarafından belirlenen bir varış noktasına yeniden yönlendirilmesi anlamına gelir. Değiştirilen varış noktası düden olarak bilinir.
Çukurun kontrolüyle, özel olarak yapılandırılmış bir DNS sunucusu, botların isteklerini kolayca sahte bir C2 sunucusuna yönlendirebilir. Bu, çukurun denetleyicisine etkilenen sistemler hakkında değerli bilgiler sağlar ve PlugX sürümünü bağlanan cihazlardan silmek için komutlar gönderme fırsatı sağlar.
FBI Philadelphia Saha Ofisinden Sorumlu FBI özel ajanı Wayne Jacobs şunları söyledi:
“FBI, virüslü binlerce ABD bilgisayarını tespit etmek ve üzerlerindeki PRC kötü amaçlı yazılımını silmek için çalıştı. Bu teknik operasyonun kapsamı, FBI’ın, Amerikalıları nerede mağdur ederlerse etsinler ÇHC düşmanlarını takip etme kararlılığını gösteriyor.”
FBI, kötü amaçlı yazılımı bilgisayarlarından silenleri internet servis sağlayıcıları (ISP’ler) aracılığıyla bilgilendirdiğini söyledi.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.