Serverele de comandă și control pot fi utile și agențiilor de aplicare a legii
Pe scurt: PlugX, o familie de programe malware concepută pentru a controla de la distanță mașinile infectate, este o amenințare persistentă care există din 2008. O variantă specifică a acestui troian de acces la distanță a fost recent vizată și, în esență, ștersă de pe internet de către FBI și câțiva parteneri internaționali.
Departamentul de Justiție și FBI au anunțat recent o operațiune de mai multe luni care a eliminat o variantă a familiei de programe malware PlugX. Instrumentul rău intenționat a fost dezvoltat de o echipă de hacking cunoscută sub numele de „Mustang Panda”, a spus FBI, întreaga operațiune fiind sponsorizată și finanțată de autoritățile chineze. Programul malware a fost conceput pentru a se infiltre, infecta și controla mii de PC-uri și rețele din întreaga lume.
Mustang Panda este activ cel puțin din 2014, se arată în declarația pe propria răspundere a FBI, recent dezvăluită. Grupul a vizat organizații guvernamentale și private de afaceri cu sediul în SUA, Europa și Asia, împreună cu câteva grupuri dizidente chineze. Proprietarii de sisteme infectate de PlugX nu sunt de obicei conștienți de infecția în curs, motiv pentru care operațiunea recentă de autodistrugere a dat o lovitură semnificativă împotriva amenințării.
Agenția americană și-a valorificat parteneriatul cu autoritățile franceze de aplicare a legii și cu compania de securitate cibernetică Sekoia.io din Franța. Cercetătorii Sekoia au reușit să descopere o caracteristică ascunsă în codul PlugX, care ar putea primi o instrucțiune de „autodistrugere” de la serverul său de comandă și control (C2). Adresa IP C2 a fost codificată în malware, astfel încât FBI a reușit să sechestreze în mod eficient întregul sistem.
Familia PlugX de troieni cu acces la distanță este cunoscută pentru capacitatea sa extinsă de a executa comenzi provenite de la serverele C2 la distanță. Infractorii cibernetici pot extrage cu ușurință informații relevante despre mașini din sistemele infectate, pot captura ecranul, pot trimite evenimente de la tastatură și mouse, pot reporni sistemul, gestiona serviciile și Registrul Windows și multe altele.
Începând cu august 2024, FBI și Departamentul de Justiție au obținut nouă mandate necesare pentru organizarea operațiunii de autodistrugere PlugX. Judecătorul a autorizat ștergerea infecției PlugX de pe aproximativ 4.258 de computere și rețele Windows din SUA, iar operațiunea a fost încheiată la începutul acestei luni.
În plus, FBI a luat legătura cu victimele reale din SUA ale malware-ului RAT prin furnizorii lor de servicii de internet. Potrivit Jacqueline Romero, procurorul SUA pentru Districtul de Est al Pennsylvania, această infecție PlugX pe termen lung, care implică mii de computere, arată cât de nesăbuiți și agresivi sunt hackerii sponsorizați de chinezi. Autoritățile americane au reușit să facă față în mod eficient acestei amenințări datorită unei abordări internaționale „întreaga societate” pentru protejarea securității cibernetice a SUA.
