Французские власти уничтожают PlugX на зараженных устройствах - «Новости»

  • 10:30, 29-июл-2024
  • Новости / Отступы и поля / Вёрстка / Изображения / Преимущества стилей / Заработок / Добавления стилей / Текст
  • Варлам
  • 0

Французская полиция и Европол сообщили, что распространяют «решение для дезинфекции», которое автоматически удаляет малварь PlugX с зараженных устройств во Франции.


Операция проводится правоохранителями в сотрудничестве с французской компанией Sekoia, специалисты которой смогли обнаружили и осуществить sinkhole управляющего сервера заброшенной версии PlugX в апреле текущего года.


Троян удаленного доступа PlugX уже давно используется различными китайскими хак-группами в своих атаках. Новые варианты обычно появляются в зависимости от нужд конкретной вредоносной кампании. В целом ИБ-экспертам было известно о существовании PlugX с 2008 года, и считается, что вредонос был разработан в Китае и использовался различными «правительственными» хак-группами.


Напомним, что в апреле специалисты Sekoia обнаружили управляющий сервер одного из вариантов PlugX, который распространялся через USB-накопители. Этот ботнет был заброшен операторами, однако продолжал распространяться, подобно червю и заразил около 2,5 млн устройств.


Тогда эксперты взяли под контроль заброшенные управляющие серверы малвари, которые ежедневно получали до 100 000 запросов с зараженных хостов, а в общей сложности за полгода с ними связались около 2,5 млн уникальных IP-адресов из 170 стран мира.


Хотя компания успешно осуществила sinkhole управляющих серверов этой версии PlugX, чтобы те не могли использоваться для передачи команд зараженным девайсам, малварь все же оставалась активной в зараженных системах, увеличивая риски того, что злоумышленники могут снова взять ботнет под свой контроль и возобновить атаки.


В результате эксперты Sekoia разработали механизм очистки зараженных устройств, который использует кастомный плагин для PlugX, устанавливаемый на зараженные устройства и дающий вредоносу команду на самоуничтожение.


Также исследователи предложили способ проверки подключенных USB-накопителей на наличие вредоносного ПО (с целью его удаления). Однако автоматическая очистка USB-накопителей могла повредить носитель и помешать доступу к легитимным файлам, так что этот подход был признан слишком рискованным.


Так как удаление PlugX с зараженных устройств могло повлечь за собой юридические последствия, исследователи поделились своими решениями с правоохранительными органами.


«Учитывая потенциальные юридические проблемы, которые могут возникнуть при проведении широкомасштабной кампании по очистке [зараженных систем], предполагающей отправку произвольной команды на рабочие станции, которые нам не принадлежат, мы решили оставить решение этого вопроса на усмотрение региональных CERT, правоохранительных органов и органов кибербезопасности», — писали специалисты Sekoia в своем апрельском отчете.


Как сообщается теперь, Европол уже получил от Sekoia решение для очисти устройств от заражения, и оно уже передается странам-партнерам для удаления вредоносного ПО.


В связи с Олимпийскими играми 2024 года, которые стартуют в Париже на этой неделе, французские власти, признали неприемлемым риск, исходящий от 3000 зараженных PlugX систем, найденных во Франции.


Поэтому теперь PlugX удаляется из зараженных систем во Франции, а также на Мальте, в Португалии, Хорватии, Словакии и Австрии. Операция по удалению малвари началась 18 июля 2024 года и, ожидается, что она продлится несколько месяцев, завершившись к концу 2024 года.





Французское Национальное агентство по безопасности информационных систем (ANSSI) будет индивидуально уведомлять всех жертв PlugX во Франции о процессе очистки их устройств и о том, какое влияние это оказывает.


Французская полиция и Европол сообщили, что распространяют «решение для дезинфекции», которое автоматически удаляет малварь PlugX с зараженных устройств во Франции. Операция проводится правоохранителями в сотрудничестве с французской компанией Sekoia, специалисты которой смогли обнаружили и осуществить sinkhole управляющего сервера заброшенной версии PlugX в апреле текущего года. Троян удаленного доступа PlugX уже давно используется различными китайскими хак-группами в своих атаках. Новые варианты обычно появляются в зависимости от нужд конкретной вредоносной кампании. В целом ИБ-экспертам было известно о существовании PlugX с 2008 года, и считается, что вредонос был разработан в Китае и использовался различными «правительственными» хак-группами. Напомним, что в апреле специалисты Sekoia обнаружили управляющий сервер одного из вариантов PlugX, который распространялся через USB-накопители. Этот ботнет был заброшен операторами, однако продолжал распространяться, подобно червю и заразил около 2,5 млн устройств. Тогда эксперты взяли под контроль заброшенные управляющие серверы малвари, которые ежедневно получали до 100 000 запросов с зараженных хостов, а в общей сложности за полгода с ними связались около 2,5 млн уникальных IP-адресов из 170 стран мира. Хотя компания успешно осуществила sinkhole управляющих серверов этой версии PlugX, чтобы те не могли использоваться для передачи команд зараженным девайсам, малварь все же оставалась активной в зараженных системах, увеличивая риски того, что злоумышленники могут снова взять ботнет под свой контроль и возобновить атаки. В результате эксперты Sekoia разработали механизм очистки зараженных устройств, который использует кастомный плагин для PlugX, устанавливаемый на зараженные устройства и дающий вредоносу команду на самоуничтожение. Также исследователи предложили способ проверки подключенных USB-накопителей на наличие вредоносного ПО (с целью его удаления). Однако автоматическая очистка USB-накопителей могла повредить носитель и помешать доступу к легитимным файлам, так что этот подход был признан слишком рискованным. Так как удаление PlugX с зараженных устройств могло повлечь за собой юридические последствия, исследователи поделились своими решениями с правоохранительными органами. «Учитывая потенциальные юридические проблемы, которые могут возникнуть при проведении широкомасштабной кампании по очистке _

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!