ФБР взломало 4200 компьютеров, чтобы уничтожить китайский вирус

ФБР провело операцию по удалению вредоносного ПО PlugX , которое использовали поддерживаемые Китаем хакеры для кражи данных. По данным Министерства юстиции США, агентство взломало около 4200 компьютеров в стране, чтобы нейтрализовать угрозу.

Согласно обнародованному судебному заявлению , PlugX распространялся хакерской группировкой «Mustang Panda» (она же «Twill Typhoon»). Эта группа использовала вредоносное ПО как минимум с 2012 года для атак на тысячи компьютеров на Windows в США, Азии и Европе. Программа проникала в системы через USB-накопители и оставалась активной в фоновом режиме, обеспечивая злоумышленникам удалённый доступ к файлам и возможностям выполнения команд на устройствах жертв.

PlugX связывался с командно-контрольным сервером, IP-адрес которого был встроен в код вредоноса. Это позволяло хакерам управлять заражёнными компьютерами, просматривать их содержимое и собирать информацию, включая IP-адреса владельцев. По данным ФБР, с сентября 2023 года около 45 000 IP-адресов в США обращались к такому серверу.

ФБР использовало этот же механизм для удаления PlugX с заражённых устройств. В сотрудничестве с правоохранительными органами Франции, которые также провели аналогичную операцию, американские специалисты получили доступ к серверу и запросили список инфицированных IP-адресов.

После этого заражённым компьютерам было отправлено специальное командное сообщение, заставившее PlugX удалить созданные файлы, прекратить выполнение вредоносного кода и полностью исчезнуть из системы.

Использование таких методов стало частью стратегии ФБР по борьбе с киберугрозами. В 2023 году агентство провело аналогичную операцию против ботнета Qakbot , удалённо отправив заражённым устройствам команду загрузки программного обеспечения, которое уничтожило вредоносный код. В 2021 году ФБР также взломало сотни компьютеров, чтобы удалить бэкдоры, оставленные китайской хакерской группировкой Hafnium в результате кибератаки на уязвимости Microsoft Exchange.