Ενώ οι αρχές στη Γαλλία και τις ΗΠΑ απενεργοποιούν το κακόβουλο λογισμικό Plug-X από τους μολυσμένους υπολογιστές, στη Γερμανία απλώς ενημερώνουν για τις μολύνσεις. Παρεμπιπτόντως αυτή η κατάσταση υφίσταται και στην Ελλάδα.
Πριν από περίπου ενάμιση χρόνο, η γαλλική εταιρεία κυβερνοασφάλειας Sekoia απέκτησε πρόσβαση σε διακομιστές του δικτύου botnet Plug-X. Δεκάδες χιλιάδες μολυσμένες συσκευές συνδέονταν σε αυτούς. Η Sekoia αναζήτησε τρόπους απολύμανσης και βρήκε μια λύση: το κακόβουλο λογισμικό περιέχει μια ρουτίνα απολύμανσης που ενεργοποιείται με μια απλή εντολή.
Ωστόσο, η εταιρεία προτίμησε να αφήσει την εφαρμογή της στις αρμόδιες αρχές και ζήτησε διεθνή υποστήριξη. Μεταξύ άλλων, η Γαλλία και οι ΗΠΑ απολύμαναν χιλιάδες συστήματα. Στη Γερμανία, όμως, η διαδικασία έχει κολλήσει.
Η πρόταση της Sekoia
Εικάζεται ότι κινέζοι χάκερ δημιούργησαν το Plug-X ως εργαλείο απομακρυσμένης πρόσβασης, το οποίο διέδιδαν μέσω USB στικ. Με αυτό τον τρόπο, έκλεψαν εμπιστευτικά δεδομένα, για παράδειγμα, από τη Volkswagen σε μεγάλη κλίμακα. Αργότερα, το κακόβουλο λογισμικό εξελίχθηκε σε μια αυτοδιαδιδόμενη απειλή, ένα «σκουλήκι» που εξαπλώθηκε ανεξέλεγκτα και μόλυνε συσκευές σε όλο τον κόσμο. Η Sekoia απέφυγε να επέμβει απευθείας σε συστήματα τρίτων.
Αντίθετα, δημιούργησε μια απλή διεπαφή και απηύθυνε διεθνή έκκληση στις κρατικές αρχές να χρησιμοποιήσουν τις παρεχόμενες λειτουργίες για να αφαιρέσουν το κακόβουλο λογισμικό από τις συσκευές εντός της δικαιοδοσίας τους.
Όπως περιγράφει η Sekoia, οι αρχές θα μπορούσαν απλά να εκτελέσουν μια εντολή στον κεντρικό υπολογιστή για να ξεκινήσουν μια διαδικασία διαγραφής που είναι ήδη ενσωματωμένη στο Plug-X. Έτσι, δεν απαιτείται η εγκατάσταση επιπλέον λογισμικού στον υπολογιστή-στόχο.
Εναλλακτικά, η Sekoia προσφέρει μια άλλη λειτουργία καθαρισμού: για τον καθαρισμό συνδεδεμένων συσκευών USB, φορτώνεται στον υπολογιστή ένα ωφέλιμο φορτίο που τροποποιεί τη δομή καταλόγων των συσκευών αποθήκευσης USB. Η ίδια η Sekoia χαρακτήρισε αυτή την επιλογή ως «εξαιρετικά παρεμβατική» και προειδοποίησε για νομικές δυσκολίες.
Το FBI χρησιμοποιεί τον «Διακόπτη Θανάτου» του κακόβουλου λογισμικού
Ήδη το καλοκαίρι του 2024, με τη βοήθεια της Sekoia, οι γαλλικές αρχές απολύμαναν χιλιάδες συστήματα στη Γαλλία. Πρόσφατα, το FBI ακολούθησε το παράδειγμά τους, ανακοινώνοντας την επιτυχή εκκαθάριση 4.200 υπολογιστών στις ΗΠΑ, χρησιμοποιώντας προφανώς την απλή εντολή απενεργοποίησης.
Η αίτηση για την ενέργεια αυτή υποβλήθηκε από έναν υπάλληλο του FBI στη Φιλαδέλφεια. Σύμφωνα με τη νομοθεσία των ΗΠΑ, κάτι τέτοιο είναι νόμιμο για την πρόληψη ζημιών, εφόσον εγκριθεί από δικαστή. Η περιγραφή της εγκεκριμένης αίτησης είναι δημόσια διαθέσιμη, όπως συνηθίζεται στο αμερικανικό δικαστικό σύστημα.
Σύμφωνα με τη Sekoia, συνολικά δέκα κράτη έχουν πλέον απενεργοποιήσει το κακόβουλο λογισμικό, χρησιμοποιώντας τις αντίστοιχες νομικές διατάξεις. Οι αρχές 34 κρατών, συμπεριλαμβανομένων των γερμανικών, έλαβαν μέσω της Europol δεδομένα σχετικά με τις μολύνσεις και τις πιθανές επιλογές καθαρισμού.
Υπάρχει μια αρκετά απλή και ακίνδυνη λύση, με την οποία θα μπορούσαν αποδεδειγμένα να καθαριστούν πολλά συστήματα.
Οι Γερμανικές Αρχές είναι επιφυλακτικές
Ωστόσο, η Ομοσπονδιακή Υπηρεσία Εγκληματολογικών Ερευνών (BKA) απέρριψε την πρόταση. Σύμφωνα με την BKA, η γαλλική λύση «δεν είναι εφαρμόσιμη από την BKA, ιδίως λόγω έλλειψης αστυνομικών εξουσιών αποτροπής κινδύνου σε ομοσπονδιακό επίπεδο στον τομέα της κυβερνοεγκληματικότητας».
Παρόλα αυτά, σε άλλη περίπτωση, με το κακόβουλο λογισμικό Emotet, η υπηρεσία είχε επέμβει πιο αποφασιστικά, χρησιμοποιώντας ακόμη και δικό της λογισμικό καθαρισμού στις μολυσμένες συσκευές, φτάνοντας, κατά την εκτίμηση πολλών ειδικών, στα όρια της νομιμότητας.
Εν τούτοις, η ενέργεια αυτή θεωρείται γενικά επιτυχία κατά του οργανωμένου εγκλήματος στον κυβερνοχώρο. Δεν δόθηκε εξήγηση για την άρνηση χρήσης της πολύ λιγότερο επικίνδυνης λειτουργίας απενεργοποίησης. Εάν η BKA επέμβει τώρα, θα καταρριφθεί ένα σημαντικό επιχείρημα για το υποτιθέμενο νομικό κενό, οδηγώντας στο συμπέρασμα ότι το ζήτημα είναι πολιτικό και όχι θέμα ασφάλειας πληροφορικής.
Επιπλέον, ο καθαρισμός κακόβουλου λογισμικού θα μπορούσε ήδη να επιβληθεί μέσω των παρόχων τηλεπικοινωνιών σύμφωνα με το άρθρο 7 παράγραφος γ του νόμου BSI («τεχνικές εντολές για τον καθαρισμό ενός συγκεκριμένου κακόβουλου προγράμματος σε επηρεαζόμενα συστήματα πληροφορικής»). Ωστόσο, αυτό επιτρέπεται μόνο υπό αυστηρές προϋποθέσεις, όπως η απειλή κρίσιμων υποδομών, παρόχων ψηφιακών υπηρεσιών ή της τεχνολογίας επικοινωνιών της ομοσπονδίας.
Σε αυτές τις περιπτώσεις, μόνο το Ομοσπονδιακό Γραφείο για την Ασφάλεια στην Πληροφορική (BSI), σε συνεννόηση με την Ομοσπονδιακή Υπηρεσία Δικτύων και τον Ομοσπονδιακό Επίτροπο Προστασίας Δεδομένων, επιτρέπεται να «καθαρίσει αναγκαστικά» συστήματα πελατών, και πάλι μόνο εάν αυτό είναι οικονομικά και τεχνικά εφικτό για τους παρόχους υπηρεσιών διαδικτύου (ISP).
Ωστόσο, αυτό δεν φαίνεται να θεωρείται κατάλληλο από το BSI. Σύμφωνα με απάντηση σε σχετικό ερώτημα, η υπηρεσία ενημερώνει για τις μολύνσεις Plug-X από τα τέλη Ιανουαρίου 2024 και από τον Μάιο του 2024 με δεδομένα από τη Sekoia. Η ενημέρωση για τη μόλυνση αποστέλλεται αρχικά στον αρμόδιο πάροχο διαδικτύου, ο οποίος στη συνέχεια θα πρέπει να ενημερώσει τους πελάτες του.
Όπως είναι γνωστό και στο BSI, αυτή η διαδικασία οδηγεί σε πολύ χαμηλά ποσοστά καθαρισμού. Ωστόσο, σύμφωνα με την υπηρεσία ασφάλειας πληροφορικής στη Βόννη, η έκταση των μολύνσεων στη Γερμανία τον Ιανουάριο του 2025 είναι «πολύ μικρή». Άλλες απειλές θεωρούνται προφανώς πιο επείγουσες.
