ФБР взломало 4200 компьютеров, чтобы уничтожить китайский вирус

ФБР провело операцию по удалению вредоносного ПО PlugX, которое использовали поддерживаемые Китаем хакеры для кражи данных. По данным Министерства юстиции США, агентство взломало около 4200 компьютеров в стране, чтобы нейтрализовать угрозу.

Согласно обнародованному судебному заявлению , PlugX распространялся хакерской группировкой «Mustang Panda» (она же «Twill Typhoon»). Эта группа использовала вредоносное ПО как минимум с 2012 года для атак на тысячи компьютеров на Windows в США, Азии и Европе. Программа проникала в системы через USB-накопители и оставалась активной в фоновом режиме, обеспечивая злоумышленникам удалённый доступ к файлам и возможностям выполнения команд на устройствах жертв.

PlugX связывался с командно-контрольным сервером, IP-адрес которого был встроен в код вредоноса. Это позволяло хакерам управлять заражёнными компьютерами, просматривать их содержимое и собирать информацию, включая IP-адреса владельцев. По данным ФБР, с сентября 2023 года около 45 000 IP-адресов в США обращались к такому серверу.

ФБР использовало этот же механизм для удаления PlugX с заражённых устройств. В сотрудничестве с правоохранительными органами Франции, которые также провели аналогичную операцию, американские специалисты получили доступ к серверу и запросили список инфицированных IP-адресов.

После этого заражённым компьютерам было отправлено специальное командное сообщение, заставившее PlugX удалить созданные файлы, прекратить выполнение вредоносного кода и полностью исчезнуть из системы.

Использование таких методов стало частью стратегии ФБР по борьбе с киберугрозами. В 2023 году агентство провело аналогичную операцию против ботнета Qakbot, удалённо отправив заражённым устройствам команду загрузки программного обеспечения, которое уничтожило вредоносный код. В 2021 году ФБР также взломало сотни компьютеров, чтобы удалить бэкдоры, оставленные китайской хакерской группировкой Hafnium в результате кибератаки на уязвимости Microsoft Exchange.