FBI与司法部联合行动清除美电脑中中国黑客恶意软件PlugX

图片源于:https://therecord.media/doj-deletes-china-linked-plugx-malware

中国国家支持的黑客所使用的恶意软件在美国电脑上的清除行动已在FBI和司法部的联合努力下完成。

美国执法部门指控中华人民共和国通过知名黑客组织Mustang Panda支付雇佣黑客,部署PlugX恶意软件——该软件使他们能够”感染、控制并窃取受害者电脑上的信息”。

司法部通过宾夕法尼亚东区法院的命令于8月获得了删除恶意软件的授权,得以将此次行动的公众披露延迟至1月。司法部与法国当局及法国网络安全公司Sekoia.io在这一几个月的努力中合作,成功清除了恶意软件。

“这种范围广泛的攻击和对美国成千上万台Windows计算机的长期感染,展示了中国国家支持黑客的鲁莽与激进,”美国检察官Jacqueline Romero表示。

“与国际与私营部门伙伴合作,司法部有法院授权的行动来删除PlugX恶意软件,证明了其保护美国网络安全的‘全社会’方法的承诺。”

FBI费城特别探员主管Wayne Jacobs表示,他们花费数月时间识别带有恶意软件的美国电脑,以为此次删除努力做好准备。PlugX恶意软件通常是在受感染设备不知情的情况下被植入,自2014年以来,它被中国各类间谍黑客广泛使用。

美国官员表彰Sekoia的专家开发出一种识别并删除特定版本PlugX的办法。FBI测试了这一策略并确认它“不会影响感染电脑的合法功能或收集内容信息”,随后与法国当局一起实施。

司法部表示,他们在2024年8月获得了九个滚动授权,随后开始对约4,258台美国计算机和网络进行PlugX恶意软件的清除行动。

受感染设备的所有者已通过其互联网服务提供商收到通知。

PlugX恶意软件最初由与中国国家安全部相关的前公司于2008年开发,自那时起在该国的间谍组织中被广泛使用。2020年,Mustang Panda内部的黑客为恶意软件增加了感染USB闪存驱动器的能力——旨在获取对非联网网络的访问。

在感染设备后,恶意软件会留在机器上,使黑客在设备打开时能够与之进行通信。

法国当局表示,Sekoia与巴黎检察官办公室及其他网络安全机构联系,涉及一个由中国黑客利用PlugX恶意软件创建的僵尸网络。黑客的恶意行为已经控制了法国的成千上万台设备以及全球更多设备,以用于间谍活动。

Sekoia的专家能够识别并接管一个管理成千上万被感染机器的指挥和控制服务器。通过这个接管,该公司能够开发出一种远程”消毒”机器的方法,并通过欧洲刑警组织(Europol)向多个国家介绍了这一策略。

消毒行动于7月18日启动,法国当局表示这项工作将持续数月。他们注意到,在马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利等国以及法国,已经有设备成功清除PlugX。

Sekoia在2024年4月的博客中确认了其行动,指出他们发现90,000到100,000个独特IP地址感染了PlugX恶意软件。该恶意软件通过感染的USB驱动器传播,随后在网络中蔓延。

“在研究PlugX通信的加密时,我们发现可以向被感染的工作站发送消毒命令。可以实施两种方法:一种是仅消毒工作站,另一种是更具侵入性的,能够消毒工作站和USB驱动器,”Sekoia的专家表示。

“尽管这种蠕虫无法完全停止,我们仍为受影响国家提供消毒的可能性,采用一种主权消毒流程的概念。”

在2024年4月的报告中,Sekoia对在没有法律权限或管辖权的情况下主动消毒设备的担忧表示了明确的看法。届时,他们选择向执法机构、国家计算机应急响应小组(CERTs)和网络安全机构报告发现。

FBI和司法部也承认,以前清除中国和俄罗斯恶意软件潜伏在无辜美国设备中的行动可能会造成潜在的隐私问题。

但这两个机构的官员表示,他们在过去的行动中采取了细致的步骤获得法院批准,并发布了大量网络安全警告,以公开其行动,让任何人不至于措手不及。

PlugX长期以来一直是中国国家支持黑客组织的首选恶意软件,它首次出现在2008年对日本的攻击中。PlugX主要针对亚洲国家,直到2012年,它才开始被用于对美国和欧洲的攻击。

Sekoia指出,PlugX的管理界面允许其操作者管理多个被感染的设备,具有后门功能,并支持文件下载、系统探索等操作。该公司表示,PlugX构建工具”在多个入侵组中共享,其中大多数都归因于与中国国家安全部相关的前公司。”

在2024年,Sekoia发现PlugX感染已遍及170多个国家,在PlugX活动的一天快照中,他们发现大约15个国家占总感染的80%以上,其中尼日利亚、印度、伊朗、印度尼西亚和美国名列前茅。

Mustang Panda也以针对参与中国“一带一路”倡议的国家政府而闻名。

“FBI对Mustang Panda进行的多年调查证实,这一黑客组织已渗透多个政府和私人组织的计算机系统,包括美国,”司法部本周在法庭文件中表示。

“重要的外国目标包括2024年的欧洲航运公司、2021年至2023年间的多个欧洲政府、全球的中国异议人士团体,以及整个印太地区(如台湾、香港、日本、韩国、蒙古、印度、缅甸、印度尼西亚、菲律宾、泰国、越南和巴基斯坦等)政府。”

一些Mustang Panda的受害者在法律文件中被编辑去除。

Avatar for Henri Wong
Henri Wong

Henri Wong's journalistic expertise spans across cultural, political, and social domains. His reports often shed light on the nuances of the Chinese diaspora's experience in France, offering perspectives that highlight the community's contributions and challenges.

You May Also Like

More From Author