Сотрудники ФБР провели масштабную операцию, направленную на ликвидацию вредоносного программного обеспечения PlugX, используемого хакерами, якобы связанных с китайскими властями, для похищения данных. Как сообщили в Министерстве юстиции США, для нейтрализации угрозы агентство получило доступ примерно к 4200 компьютерам по всей стране.

Согласно материалам, представленным в суде, вредонос PlugX распространялся хакерской группировкой Mustang Panda, также известной под названием Twill Typhoon. Эта киберпреступная группа использовала вирус примерно с 2012 года для проведения атак на огромное количество устройств, работающих на базе Windows. Атаки проводились против организаций в США, Азии и Европы. Вредоносное ПО проникало в системы через USB-накопители и оставалось скрытым, предоставляя хакерам возможность удалённо управлять компьютерами жертв, просматривать файлы и выполнять команды.

Вредонос PlugX был настроен на взаимодействие с сервером управления киберпреступников, чей IP-адрес был заранее прописан в его коде. Это позволяло злоумышленникам контролировать заражённые устройства, получать доступ к данным пользователей, а также собирать информацию, в том числе IP-адреса владельцев. По данным ФБР, с осени 2023 года около 45 тысяч IP-адресов в США связывались с подобными серверами.

Для уничтожения вредоносного ПО PlugX ФБР применило ту же технологию, что использовали хакеры. При поддержке французских коллег, которые провели аналогичную операцию, специалисты из США получили доступ к командному серверу и извлекли список инфицированных адресов. Затем заражённые устройства получили специальную команду, которая отключила вирус, удалив его файлы и код из системы.

Методы, применённые ФБР, стали частью их долгосрочной стратегии борьбы с угрозами в сфере кибербезопасности. Например, в 2023 году ведомство провело успешную операцию против ботнета Qakbot, удалённо отправив заражённым устройствам программу, уничтожившую вредоносный код. Подобная тактика использовалась и в 2021 году, когда ФБР ликвидировало бэкдоры, оставленные другой китайской группировкой в результате атаки на уязвимости Microsoft Exchange.

Ещё по теме: