Bíróság által engedélyezett művelettel eltávolítják a PlugX kártevőt több mint 4200 fertőzött amerikai számítógépről.
Az Egyesült Államok Igazságügyi Minisztériuma és a Szövetségi Nyomozóiroda (FBI) bejelentette, hogy egy több hónapos bűnüldözési művelet keretében nemzetközi partnerekkel együtt több ezer fertőzött számítógépről törölték a „PlugX” rosszindulatú szoftvert. A Pennsylvania keleti körzetében nyilvánosságra hozott bírósági dokumentumokban leírtak szerint a Kínai Népköztársaság (KNK) által támogatott hackercsoport, amelyet a magánszektorban „Mustang Panda” és „Twill Typhoon” néven ismertek, a PlugX malware egy változatát használta arra, hogy megfertőzze, irányítsa és információkat lopjon az áldozatok számítógépeiről.
A bírósági dokumentumok szerint a KNK kormánya fizetett a Mustang Panda csoportnak, hogy – más számítógépes behatolási szolgáltatások mellett – a PlugX ezen speciális változatát fejlessze ki. Legalább 2014 óta a Mustang Panda hackerei ezután több ezer számítógépes rendszerbe szivárogtak be az amerikai áldozatokat, valamint európai és ázsiai kormányokat és vállalatokat, illetve kínai disszidens csoportokat célzó kampányok során. A korábbi kiberbiztonsági jelentések ellenére a PlugX-szel még mindig fertőzött számítógépek tulajdonosai jellemzően nem tudnak a fertőzésről. A bejelentett, bíróság által engedélyezett művelet a PlugX Mustang Panda verziójával fertőzött amerikai számítógépeket tisztította meg.
Francia kapcsolat
„Az Igazságügyi Minisztérium prioritásként kezeli a kiberfenyegetések proaktív megszakítását, hogy megvédje az amerikai áldozatokat a károktól, miközben az elkövetők letartóztatásán és büntetőeljárás alá vonásán is dolgozunk. Ez a művelet, akárcsak más, a közelmúltban a kínai és orosz hackercsoportok, például a Volt Typhoon, a Flax Typhoon és az APT28 ellen indított technikai műveletek, a rosszindulatú kibertevékenység elleni sikeres fellépés az erős partnerségekre támaszkodott. Elismerésemet fejezem ki a francia kormányzati és magánszektorbeli partnereknek, amiért élen járnak ebben a nemzetközi műveletben a globális kiberbiztonság védelmében” — mondta Matthew G. Olsen, az Igazságügyi Minisztérium nemzetbiztonsági osztályának főügyészhelyettese.
„A francia bűnüldöző szervekkel való partnerségünket kihasználva az FBI fellépett, hogy megvédje az amerikai számítógépeket a KNK állami támogatású hackerek további veszélyeztetésétől. A bejelentés megerősíti az FBI elkötelezettségét az amerikai nép védelme mellett, hogy a nemzetállami kiberfenyegetésekkel szemben a jogi hatáskörök és a technikai szakértelem teljes skáláját felhasználva lépjen fel” — mondta Bryan Vorndran, az FBI kibervédelmi részlegének igazgatóhelyettese.
„Ez a széles körű hackelés és több ezer Windows-os számítógép – köztük számos otthoni számítógép az Egyesült Államokban – megfertőzése a KNK által támogatott állami hackerek vakmerőségét és agresszivitását bizonyítja. A nemzetközi és magánszektorbeli partnerekkel együttműködve a bíróság által engedélyezett, a PlugX rosszindulatú szoftverek törlésére irányuló művelete bizonyítja az Egyesült Államok kiberbiztonságának védelmét célzó «egész társadalomra kiterjedő» megközelítés iránti elkötelezettségét” — mondta Jacqueline Romero, Pennsylvania keleti körzetének ügyésze.
Értesítették az áldozatokat
„Az FBI azon dolgozott, hogy több ezer fertőzött amerikai számítógépet azonosítson, és törölje a rajtuk lévő PlugX malware-t. E technikai művelet kiterjedtsége bizonyítja az FBI eltökéltségét a KNK ellenfeleinek üldözésére, függetlenül attól, hogy hol okoznak kárt az amerikaiaknak” — mondta Wayne Jacobs különleges ügynök, az FBI philadelphiai területi irodájának vezetője.
A nemzetközi műveletet a francia bűnüldöző szervek és a Sekoia.io, egy franciaországi székhelyű kiberbiztonsági magánvállalat vezette, amely felderítette a PlugX verziójának a fertőzött eszközökről való törlését lehetővé tevő parancsokat. E partnerekkel együttműködve az FBI tesztelte a parancsokat, megerősítette azok hatékonyságát, és megállapította, hogy azok egyébként nem befolyásolják a fertőzött számítógépek törvényes funkcióit, és nem gyűjtenek tartalmi információkat a fertőzött számítógépekről. 2024 augusztusában az Igazságügyi Minisztérium és az FBI megkapta azt a végzést, amely engedélyezte a PlugX törlését az Egyesült Államokban található számítógépekről. A végzés 2025. január 3-án járt le, addig az összes amerikai számítógépről törölték a káros szoftvert, és ezzel lezárult a művelet amerikai része. A bíróság által engedélyezett művelet során összesen 4258 számítógépről törölték a PlugX rosszindulatú programot.
Az FBI az áldozatoknak az internetszolgáltatóikon keresztül értesítést küldött a bíróság által engedélyezett műveletről. Az FBI továbbra is vizsgálja a Mustang Panda számítógépes behatolási tevékenységét.
Összefoglalás
- Ez a művelet, akárcsak más, a közelmúltban a kínai és orosz hackercsoportok, például a Volt Typhoon, a Flax Typhoon és az APT28 ellen indított technikai műveletek, a rosszindulatú kibertevékenység elleni sikeres fellépés az erős partnerségekre támaszkodott.
- A bejelentés megerősíti az FBI elkötelezettségét az amerikai nép védelme mellett, hogy a nemzetállami kiberfenyegetésekkel szemben a jogi hatáskörök és a technikai szakértelem teljes skáláját felhasználva lépjen fel” — mondta Bryan Vorndran, az FBI kibervédelmi részlegének igazgatóhelyettese.
- E partnerekkel együttműködve az FBI tesztelte a parancsokat, megerősítette azok hatékonyságát, és megállapította, hogy azok egyébként nem befolyásolják a fertőzött számítógépek törvényes funkcióit, és nem gyűjtenek tartalmi információkat a fertőzött számítógépekről.