美国再次通过法院批准的行动,从全国范围内清除私有联网计算机上的恶意软件,这是响应多个国家抗击恶意软件的努力的一部分。这种恶意软件是由一个中国背景的组织分发的PlugX,它已经感染了全球数以千计的Windows计算机。
PlugX是一种远程访问木马RAT,它包含恶意DLL文件,能够在受感染终端上执行多种操作,包括下载和部署新的模块或插件。
在周二的声明中,司法部和FBI表示,他们于1月3日前已完成对美国计算机中PlugX恶意软件的清除工作,历时五个月。FBI正在通过互联网服务提供商通知美国受感染计算机的所有者有关这项法院授权的行动。
自2023年9月以来,至少有45000个美国IP地址与与恶意软件相关的指挥控制C2) 服务器进行了联系。虽然美国没有详细说明其他国家采取的行动,但确实指出这项国际行动是由法国执法机构和法国私营网络安全公司Sekoiaio主导的,他们找到了一种方法可以发送指令删除特定版本的PlugX。
这种PlugX版本具有自我删除的能力,法国的解决方案利用了这一点,通过控制C2服务器发出删除指令。而美国则需要法院的指令才能在识别出的受感染计算机上执行该命令。
“我喜欢看到全球执法机构采取这类行动,”来自加拿大Beauceron Security的首席执行官David Shipley说道,“这是将那些网络犯罪的罪犯送进监狱的最佳替代方案。”
梯子大全vp-nCypfer的首席运营官Ed Dubrovksy表示,国际响应“是打击计算机恶意软件的一个巨大里程碑,也是执法人员保护人民数字资产的前所未有的步骤。”然而,他补充道,这项行动可能创造了一个非常危险的先例,即执法机构向用户的个人计算机发送可能未经所有者授权的指令,迫使设备执行某些操作。
“没有人可以否认恶意软件必须被清除,因为它可能对他人造成严重影响,不仅仅是受感染的设备,”他说。“人们在这样的设备上存放了许多个人和机密数据,而尽管通知中清楚地声明操作没有侵犯隐私,但法律领域是否会将执法获得的访问视为合法访问的范畴仍然值得探讨。”
根据美国法院文件,中国支付Mustang Panda团队开发这一特定版本的PlugX,并通过受感染的USB设备进行分发。自2014年以来,Mustang Panda的黑客攻击已经渗透到数以千计的计算机系统中,目标包括美国、欧洲和亚洲的政府、企业以及中国的持不同政见者组织。
网络安全公司多年来一直在警告Mustang Panda的存在,有些研究人员称之为RedDelta、Bronze President或Twill Typhoon。2022年,思科系统报告称该组织开始针对欧洲和俄罗斯的机构进行网络钓鱼活动。
在感觉到企业和个人行动缓慢的情况下,使用法院批准的方式向私人计算机发送指令是一种不常见但有效的策略。这种方式的成功依赖于当地法律的允许。
美国首次使用此方法是在2021年,法院批准其清除数百台受感染的微软Exchange Server计算机上的恶意网络壳。2023年,美国再次使用此措施来干扰与Snake恶意软件相关的全球点对点计算机网络,这种恶意软件被认为与俄罗斯联邦安全局有关。
“司法
