Французские специалисты нашли способ удаления трояна PlugX.
В 6 странах мира началась масштабная операция по удалению трояна PlugX с заражённых устройств. Кампанию организовала полиция Франции при поддержке Европола и французской ИБ-компании Sekoia.
PlugX — это троян удаленного доступа (Remote Access Trojan, RAT), который давно используется китайскими хакерами. Новые версии PlugX модифицируются и выпускаются в зависимости от текущих потребностей злоумышленников.
В апреле Sekoia взяла под контроль C2-сервер одного из вариантов PlugX. Вредонос распространялся через USB-накопители, создавая ботнет, который продолжал заражать устройства даже после того, как остался без присмотра оператора. В результате за 6 месяцев самостоятельной работы троян заразил около 2,5 миллионов устройств по всему миру. Поскольку ботнет оставался активным, его могли захватить другие киберпреступники.
Чтобы устранить угрозу, специалисты Sekoia предложили механизм очистки, использующий специальный плагин для PlugX, который отправляет устройству команду на самоуничтожение вредоносного ПО. Также был предложен метод сканирования подключённых USB-накопителей для удаления трояна. Однако автоматическая очистка USB-накопителей могла повредить носители и привести к потере легитимных файлов, что делало такой подход рискованным.
Учитывая юридические сложности, которые могли бы возникнуть при проведении масштабной кампании по очистке, Sekoia передала своё решение командам реагирования на компьютерные инциденты (CERT), правоохранительным органам и регуляторам в сфере ИБ.
Европол получил «дезинфектор» и поделился им со странами-партнерами для удаления PlugX с устройств. Хотя подробности о механизме очистки не разглашаются, вероятно, созданная программа похожа на модуль PlugX, описанный в апрельском отчёте Sekoia.
В разгар Олимпийских игр 2024 года в Париже французские власти находятся в состоянии повышенной готовности, и риск наличия PlugX в 3000 системах во Франции неприемлем. Поэтому PlugX теперь удаляется с заражённых систем не только во Франции, но и на Мальте, в Португалии, Хорватии, Словакии и Австрии. Операция по очистке началась 18 июля и продлится несколько месяцев, вероятно, до конца года.
Отмечается, что данный вариант PlugX распространяется через зараженные USB-накопители, и неизвестно, включает ли решение Sekoia возможность удаления вредоносного ПО со съемных носителей. Пользователям рекомендуется проявлять осторожность при подключении USB-накопителей к компьютерам в типографиях и других местах, где ежедневно происходит множество физических подключений, а также сканировать свои устройства перед подключением их к системам с конфиденциальными данными.
Европол и французские власти не предоставили свои комментарии.
В Матрице безопасности выбор очевиден