Francuska policja i Europol udostępniają „rozwiązanie dezynfekujące”, które automatycznie usuwa złośliwe oprogramowanie PlugX z zainfekowanych urządzeń we Francji.

Operację prowadzi Centrum Walki z Przestępczością Cyfrową (C3N) Krajowej Żandarmerii przy wsparciu francuskiej firmy zajmującej się cyberbezpieczeństwem Sekoia, która w kwietniu ubiegłego roku przejęła kontrolę nad serwerem dowodzenia i kontroli szeroko rozpowszechnionej odmiany PlugX.

PlugX to trojan zdalnego dostępu, który od dawna jest wdrażany przez wielu chińskich aktorów zagrożeń. Nowe warianty są modyfikowane i wydawane zgodnie z operacyjnymi potrzebami złośliwej kampanii.

Firma zajmująca się cyberbezpieczeństwem Sekoia wcześniej informowała o botnecie dla wariantu PlugX, który rozprzestrzeniał się za pośrednictwem dysków flash USB. Ten botnet został porzucony przez pierwotnego operatora, ale nadal rozprzestrzeniał się niezależnie, infekując prawie 2,5 miliona urządzeń.

Sekoia przejęła kontrolę nad opuszczonymi serwerami dowodzenia i kontroli, które otrzymywały dziennie do 100 000 pingów od zainfekowanych hostów i w ciągu sześciu miesięcy odnotowały 2 500 000 unikalnych połączeń ze 170 krajów.

Firma zajmująca się bezpieczeństwem zamknęła botnet PlugX, aby nie można było go używać do wydawania poleceń zainfekowanym urządzeniom. Jednak złośliwe oprogramowanie pozostało aktywne w systemach użytkowników, zwiększając ryzyko, że złośliwi aktorzy mogliby przejąć kontrolę nad botnetem i przywrócić infekcje.

Sekoia zaproponowała mechanizm czyszczenia, który wykorzystuje niestandardową wtyczkę PlugX, przesyłaną do zainfekowanych urządzeń w celu wydania polecenia samodzielnego usunięcia, które usuwa infekcję.

Naukowcy zaproponowali również metodę skanowania podłączonych dysków flash USB pod kątem złośliwego oprogramowania i usuwania go. Jednak automatyczne czyszczenie dysków USB może uszkodzić nośniki i uniemożliwić dostęp do legalnych plików, co czyni to podejście ryzykownym.

Jako że takie podejście jest inwazyjne i może mieć konsekwencje prawne, naukowcy podzielili się swoim rozwiązaniem z organami ścigania.

„Biorąc pod uwagę potencjalne wyzwania prawne, które mogą wyniknąć z przeprowadzenia szeroko zakrojonej kampanii dezynfekcji, obejmującej wysłanie dowolnego polecenia do stacji roboczych, których nie jesteśmy właścicielami, postanowiliśmy odłożyć decyzję o dezynfekcji stacji roboczych w ich krajach do uznania krajowych zespołów reagowania na incydenty komputerowe (CERT), organów ścigania (LEA) i organów ds. cyberbezpieczeństwa” — wyjaśniła firma Sekoia w swoim raporcie z kwietnia.

Czyszczenie urządzeń francuskich

Według C3N, Europol otrzymał od firmy Sekoia roztwór dezynfekujący, który jest udostępniany krajom partnerskim w celu usuwania złośliwego oprogramowania z urządzeń w tych krajach.

Firma Sekoia poinformowała serwis BleepingComputer, że nie może podzielić się szczegółami rozwiązania, lecz prawdopodobnie jest to rozwiązanie podobne do modułu PlugX, który opisali w swoim raporcie.

W obliczu zbliżających się Igrzysk Olimpijskich Paryż 2024 francuskie władze, w tym wszystkie podmioty zainteresowane cyberbezpieczeństwem, są w stanie najwyższej gotowości, więc ryzyko związane z obecnością PlugX w 3000 systemach we Francji uznano za niedopuszczalne.

W związku z tym ładunki PlugX są obecnie usuwane z zainfekowanych systemów we Francji, a także na Malcie, w Portugalii, Chorwacji, Słowacji i Austrii.

Operacja dezynfekcji rozpoczęła się 18 lipca 2024 r. i przewiduje się, że potrwa kilka miesięcy, prawdopodobnie kończąc się pod koniec 2024 r.

Krajowa Agencja Bezpieczeństwa Systemów Informacyjnych (ANSSI) będzie indywidualnie informować ofiary we Francji o procesie oczyszczania i jego wpływie na ich życie.

Warto zauważyć, że ta konkretna odmiana PlugX rozprzestrzenia się poprzez zainfekowane dyski USB. Nie wiadomo, czy rozwiązanie firmy Sekoia umożliwia usuwanie złośliwego oprogramowania z nośników wymiennych.

Zaleca się zachowanie ostrożności przy podłączaniu pamięci USB do systemów w punktach drukarskich i innych miejscach, do których codziennie nawiązuje się wiele połączeń fizycznych. Zaleca się również przeskanowanie urządzeń przed podłączeniem ich do systemów, w których przechowywane są poufne dane.

BleepingComputer zwrócił się do Europolu i władz francuskich z pytaniami dotyczącymi roztworu dezynfekującego, ale do tej pory nie otrzymał odpowiedzi.