Κακόβουλο λογισμικό με εντολή αυτοδιαγραφής
Το FBI ανακοίνωσε ότι αφαίρεσε κινεζικό κακόβουλο λογισμικό από 4.258 υπολογιστές και δίκτυα στις Ηνωμένες Πολιτείες, στέλνοντας εντολές που ανάγκασαν το λογισμικό να χρησιμοποιήσει τη λειτουργία αυτοδιαγραφής του. Το κακόβουλο λογισμικό είχε δημιουργηθεί από την ομάδα Mustang Panda, που χρηματοδοτήθηκε από την κυβέρνηση της Λαϊκής Δημοκρατίας της Κίνας (ΛΔΚ), σύμφωνα με το FBI.
Το λογισμικό PlugX χρησιμοποιήθηκε για να μολύνει, να ελέγξει και να κλέψει πληροφορίες από υπολογιστές-θύματα. Από το 2014, η ομάδα Mustang Panda πραγματοποίησε επιθέσεις σε χιλιάδες συστήματα, στοχεύοντας τόσο σε Αμερικανούς όσο και σε ευρωπαϊκές και ασιατικές κυβερνήσεις, επιχειρήσεις και ομάδες αντιφρονούντων στην Κίνα.
Η μέθοδος απομάκρυνσης
Παρόλο που το κακόβουλο λογισμικό PlugX ήταν γνωστό για χρόνια, πολλά συστήματα Windows παρέμεναν μολυσμένα, με τους ιδιοκτήτες τους να αγνοούν την ύπαρξή του. Το FBI ανέπτυξε μέθοδο απομάκρυνσης χάρη σε πληροφορίες που έλαβε από γαλλική αρχή επιβολής του νόμου, η οποία είχε αποκτήσει πρόσβαση σε έναν διακομιστή εντολών και ελέγχου (C2).
Οι μολυσμένοι υπολογιστές επικοινωνούσαν με τον διακομιστή C2, ο οποίος είχε τη δυνατότητα να στείλει διάφορες εντολές, συμπεριλαμβανομένης της “αυτοδιαγραφής”. Αυτή η λειτουργία διαγράφει το ίδιο το λογισμικό, τα αρχεία που είχε δημιουργήσει και τις εγγραφές μητρώου που του επέτρεπαν να εκκινείται αυτόματα.
Συνεργασία FBI και Γαλλικών Αρχών
Η γαλλική εταιρεία κυβερνοασφάλειας Sekoia.io εντόπισε και ανέφερε τη δυνατότητα αποστολής εντολών για διαγραφή του κακόβουλου λογισμικού. Με τη βοήθεια αυτής της γνώσης, το FBI, σε συνεργασία με τις γαλλικές αρχές, μπορούσε να αναγνωρίσει τις μολυσμένες συσκευές στις Ηνωμένες Πολιτείες και να αποστείλει την εντολή αυτοδιαγραφής μέσω του διακομιστή C2.
Το FBI διαβεβαίωσε ότι η εντολή αυτή δεν επηρεάζει νόμιμες λειτουργίες ή αρχεία και δεν μεταδίδει δεδομένα από τις συσκευές-στόχους. Ανάμεσα στον Αύγουστο και τον Δεκέμβριο του 2024, το FBI έλαβε εννέα δικαστικά εντάλματα που του επέτρεπαν να αφαιρέσει το PlugX από μολυσμένους υπολογιστές στις ΗΠΑ.
Ενημέρωση χρηστών και παρόμοιες επιχειρήσεις
Το FBI ενημέρωσε τους παρόχους υπηρεσιών διαδικτύου (ISPs) που φιλοξενούν τις διευθύνσεις IP των μολυσμένων συσκευών, ζητώντας τους να ειδοποιήσουν τους πελάτες τους για τη διαγραφή του κακόβουλου λογισμικού. Η συγκεκριμένη επιχείρηση είναι παρόμοια με μια προηγούμενη δράση, κατά την οποία διαγράφηκαν κακόβουλα προγράμματα από εκατοντάδες μολυσμένους δρομολογητές.
Συμπέρασμα
Η συντονισμένη επιχείρηση του FBI αποτελεί σημαντική νίκη ενάντια σε κυβερνοαπειλές που συνδέονται με κρατικά υποστηριζόμενες ομάδες χάκερ. Ωστόσο, αναδεικνύει την ανάγκη για ενισχυμένη κυβερνοασφάλεια και τη συνεχή επιτήρηση των ψηφιακών υποδομών, τόσο από κρατικούς φορείς όσο και από ιδιωτικούς οργανισμούς.