Правоохранительные органы США и других стран удалили вредоносное ПО PlugX с тысяч компьютеров по всему миру в ходе скоординированной кампании по снижению эффективности одного из самых печально известных вредоносных программ, используемых злоумышленниками.
Согласно недавно обнародованным судебным документам Восточного округа Пенсильвании, Министерство юстиции США работало совместно с международными партнерами, включая французские правоохранительные органы и фирму по кибербезопасности Sekoia.io, над ликвидацией сети, которая использовала PlugX — троян удаленного доступа (RAT), нацеленный на жертв в США, а также на правительства и компании Европы и Азии, а также на китайские диссидентские группы.
Министерство юстиции США связывает деятельность вредоносной сети с группой хакеров, предположительно спонсируемой Китайской Народной Республикой (КНР). Эта группа, известная как «Mustang Panda» или «Twill Typhoon», с 2014 года участвовала в многочисленных кибератаках.
Операция по удалению, которая длилась несколько месяцев, была проведена благодаря серии судебных ордеров, позволивших удалить PlugX примерно с 4258 компьютеров и сетей в США. Кроме того, киберподразделение французской жандармерии C3N и парижская прокуратура инициировали аналогичное расследование, выявив ботнет из нескольких миллионов зараженных устройств. Обе операции проводились при поддержке французской компании Sekoia, специализирующейся на кибербезопасности, которая разработала инструмент для обнаружения и удаления вредоносного ПО.
«Используя наше партнёрство с французскими правоохранительными органами, ФБР приняло меры по защите американских компьютеров от дальнейшего взлома со стороны хакеров, спонсируемых государством КНР», — заявил помощник директора киберотдела ФБР Брайан Ворндран. «Сегодняшнее заявление подтверждает приверженность ФБР защите американского народа, используя весь спектр своих правовых полномочий и технического опыта для противодействия государственным киберугрозам».
PlugX классифицируется как троян удалённого доступа (RAT) и действует с 2008 года, выполняя функцию сложного бэкдора для взломанных систем. Эта вредоносная программа позволяет злоумышленникам получить полный контроль над заражённым компьютером, выполняя произвольные команды удалённо. Она связана с несколькими злоумышленниками или группами, часто связанными с продвинутыми постоянными угрозами (APT), такими как APT22, APT26 и APT31, которые, как считается, действуют в рамках или при координации с государственными кампаниями.
PlugX обладает целым рядом передовых возможностей, которые делают его мощным инструментом кибершпионажа и преступной деятельности. Вредоносная программа способна скрытно собирать критически важную информацию, выполняя команды для извлечения системных данных, захвата изображений экрана, имитации действий клавиатуры и мыши и регистрации нажатий клавиш. Кроме того, она позволяет злоумышленникам контролировать системные процессы и службы, управлять записями реестра Windows и открывать командную оболочку, предоставляя атакующей стороне широкие операционные возможности. Благодаря этим функциям PlugX способен осуществлять комплексное наблюдение и кражу данных, не привлекая внимания, что ещё больше затрудняет эффективное обнаружение и нейтрализацию его присутствия.
Вариант PlugX использовался злоумышленниками при взломе Управления кадров в 2015 году , что позволило им проникнуть в системы OPM, а также сжимать и извлекать данные. Киберпреступники также использовали варианты PlugX для атак с целью вымогательства.
Помощник генерального прокурора Мэтью Олсен подчеркнул важность превентивного пресечения киберугроз, отметив, что эти усилия перекликаются с недавними действиями против других китайских и российских хакерских группировок .
«Эта операция, как и другие недавние технические операции против китайских и российских хакерских групп, таких как Volt Typhoon, Flax Typhoon и APT28, опиралась на прочные партнёрские отношения для успешного противодействия вредоносной киберактивности», — заявил Олсен в пресс-релизе. «Я выражаю признательность партнёрам из французского правительства и частного сектора за руководство этой международной операцией по защите глобальной кибербезопасности».
Согласно недавно обнародованным судебным документам Восточного округа Пенсильвании, Министерство юстиции США работало совместно с международными партнерами, включая французские правоохранительные органы и фирму по кибербезопасности Sekoia.io, над ликвидацией сети, которая использовала PlugX — троян удаленного доступа (RAT), нацеленный на жертв в США, а также на правительства и компании Европы и Азии, а также на китайские диссидентские группы.
Министерство юстиции США связывает деятельность вредоносной сети с группой хакеров, предположительно спонсируемой Китайской Народной Республикой (КНР). Эта группа, известная как «Mustang Panda» или «Twill Typhoon», с 2014 года участвовала в многочисленных кибератаках.
Операция по удалению, которая длилась несколько месяцев, была проведена благодаря серии судебных ордеров, позволивших удалить PlugX примерно с 4258 компьютеров и сетей в США. Кроме того, киберподразделение французской жандармерии C3N и парижская прокуратура инициировали аналогичное расследование, выявив ботнет из нескольких миллионов зараженных устройств. Обе операции проводились при поддержке французской компании Sekoia, специализирующейся на кибербезопасности, которая разработала инструмент для обнаружения и удаления вредоносного ПО.
«Используя наше партнёрство с французскими правоохранительными органами, ФБР приняло меры по защите американских компьютеров от дальнейшего взлома со стороны хакеров, спонсируемых государством КНР», — заявил помощник директора киберотдела ФБР Брайан Ворндран. «Сегодняшнее заявление подтверждает приверженность ФБР защите американского народа, используя весь спектр своих правовых полномочий и технического опыта для противодействия государственным киберугрозам».
PlugX классифицируется как троян удалённого доступа (RAT) и действует с 2008 года, выполняя функцию сложного бэкдора для взломанных систем. Эта вредоносная программа позволяет злоумышленникам получить полный контроль над заражённым компьютером, выполняя произвольные команды удалённо. Она связана с несколькими злоумышленниками или группами, часто связанными с продвинутыми постоянными угрозами (APT), такими как APT22, APT26 и APT31, которые, как считается, действуют в рамках или при координации с государственными кампаниями.
PlugX обладает целым рядом передовых возможностей, которые делают его мощным инструментом кибершпионажа и преступной деятельности. Вредоносная программа способна скрытно собирать критически важную информацию, выполняя команды для извлечения системных данных, захвата изображений экрана, имитации действий клавиатуры и мыши и регистрации нажатий клавиш. Кроме того, она позволяет злоумышленникам контролировать системные процессы и службы, управлять записями реестра Windows и открывать командную оболочку, предоставляя атакующей стороне широкие операционные возможности. Благодаря этим функциям PlugX способен осуществлять комплексное наблюдение и кражу данных, не привлекая внимания, что ещё больше затрудняет эффективное обнаружение и нейтрализацию его присутствия.
Вариант PlugX использовался злоумышленниками при взломе Управления кадров в 2015 году , что позволило им проникнуть в системы OPM, а также сжимать и извлекать данные. Киберпреступники также использовали варианты PlugX для атак с целью вымогательства.
Помощник генерального прокурора Мэтью Олсен подчеркнул важность превентивного пресечения киберугроз, отметив, что эти усилия перекликаются с недавними действиями против других китайских и российских хакерских группировок .
«Эта операция, как и другие недавние технические операции против китайских и российских хакерских групп, таких как Volt Typhoon, Flax Typhoon и APT28, опиралась на прочные партнёрские отношения для успешного противодействия вредоносной киберактивности», — заявил Олсен в пресс-релизе. «Я выражаю признательность партнёрам из французского правительства и частного сектора за руководство этой международной операцией по защите глобальной кибербезопасности».
