السلطات الفرنسية تطلق عملية إزالة برامج PlugX الضارة من الأنظمة المصابة
أطلقت السلطات القضائية الفرنسية، بالتعاون مع يوروبول، ما يسمى “عملية التطهير” لتخليص المضيفين المخترقين من برنامج ضار معروف يسمى PlugX.
مكتب المدعي العام في باريس، باركيه دي باريس، قال تم إطلاق المبادرة في 18 يوليو ومن المتوقع أن تستمر “لعدة أشهر”.
وقالت أيضًا إن حوالي مائة ضحية في فرنسا ومالطا والبرتغال وكرواتيا وسلوفاكيا والنمسا استفادوا بالفعل من جهود التطهير.
يأتي هذا التطوير بعد ما يقرب من ثلاثة أشهر من كشف شركة الأمن السيبراني الفرنسية Sekoia عن اختراق خادم القيادة والتحكم (C2) المرتبط بفيروس طروادة PlugX في سبتمبر 2023 من خلال إنفاق 7 دولارات للحصول على عنوان IP. كما أشارت أيضًا إلى أن ما يقرب من 100000 عنوان IP عام فريد يرسل طلبات PlugX يوميًا إلى النطاق الذي تم الاستيلاء عليه.
PlugX (المعروف أيضًا باسم Korplug) هو حصان طروادة للوصول عن بعد (RAT) يستخدم على نطاق واسع من قبل الجهات الفاعلة في مجال التهديد الصيني منذ عام 2008 على الأقل، إلى جانب عائلات البرامج الضارة الأخرى مثل Gh0st RAT وShadowPad.
يتم إطلاق البرامج الضارة عادةً داخل الأجهزة المضيفة المخترقة باستخدام تقنيات التحميل الجانبي لـ DLL، مما يسمح للجهات الفاعلة في مجال التهديد بتنفيذ أوامر عشوائية، وتحميل/تنزيل الملفات، وتعداد الملفات، وجمع البيانات الحساسة.
“هذا الباب الخلفي، الذي تم تطويره في البداية بواسطة Zhao Jibin (المعروف أيضًا باسم WHG)، تطور على مدار الوقت في أشكال مختلفة،” Sekoia قال في وقت سابق من شهر أبريل الجاري. “لقد تمت مشاركة أداة PlugX builder بين العديد من مجموعات التطفل، ويُنسب معظمها إلى شركات واجهة مرتبطة بوزارة أمن الدولة الصينية.”
وعلى مر السنين، تم دمجها أيضًا في مكون قابل للديدان يتيح انتشارها عبرها محركات أقراص USB المصابة، وتجاوز الشبكات الهوائية بشكل فعال.
وقالت Sekoia، التي ابتكرت حلاً لحذف PlugX، إن المتغيرات من البرنامج الضار مع آلية توزيع USB تأتي مع أمر الحذف الذاتي (“0x1005”) لإزالة نفسها من محطات العمل المخترقة، على الرغم من عدم وجود طريقة حاليًا لإزالتها من أجهزة USB نفسها.
وقالت: “أولا، تتمتع الدودة بالقدرة على التواجد على شبكات ذات فجوات هوائية، مما يجعل هذه العدوى بعيدة عن متناولنا”. “ثانيًا، وربما الأمر الأكثر أهمية، هو أن فيروس PlugX المتنقل يمكن أن يتواجد على أجهزة USB المصابة لفترة طويلة دون الاتصال بمحطة عمل.”
ونظرًا للمضاعفات القانونية التي ينطوي عليها مسح البرامج الضارة عن بُعد من الأنظمة، أشارت الشركة أيضًا إلى أنها تؤجل القرار إلى فرق الاستجابة لطوارئ الكمبيوتر الوطنية (CERTs)، ووكالات إنفاذ القانون (LEAs)، وسلطات الأمن السيبراني.
وقال سيكويا لصحيفة The Hacker News: “بعد تقرير من Sekoia.io، أطلقت السلطات القضائية الفرنسية عملية تطهير لتفكيك شبكة الروبوتات التي تسيطر عليها دودة PlugX. وقد أثرت PlugX على عدة ملايين من الضحايا في جميع أنحاء العالم”. “تم اقتراح حل التطهير الذي طوره فريق Sekoia.io TDR عبر اليوروبول على البلدان الشريكة ويتم نشره في هذا الوقت.”
“نحن سعداء بالتعاون المثمر مع الجهات الفاعلة المعنية في فرنسا (القسم J3 من مكتب المدعي العام في باريس والشرطة والدرك وANSSI) وعلى المستوى الدولي (يوروبول وقوات الشرطة في بلدان ثالثة) لاتخاذ إجراءات ضد الإنترنت الخبيث طويل الأمد أنشطة.”
إرسال التعليق