Hackeri vytvorili nekontrolovateľný malvér: Bezpečnostní experti našli desaťtisíce infikovaných zariadení
Malvér PlugX má dlhú históriu, no koncom minulého roka bezpečnostní analytici získali kontrolu nad hackerským kontrolným serverom.
Bezpečnostní experti zo Sekoia informujú, že sa im v septembri minulého roku podarilo znefunkčniť kontrolný server spojený so zákerným malvérom PlugX.
Bezpečnostným expertom sa podarilo získať unikátnu IP adresu hackerského servera len za sedem dolárov. Vysvetľujú ale, že existuje stále 90 až 100-tisíc unikátnych verejných IP adries, ktoré posielajú požiadavky na získaný server. Analytici sa lepšie pozreli na malvér a zistili, že môžu poslať “dezinfekčné” príkazy na napadnuté zariadenia.
Pri dezinfikovaní zariadení môžu bezpečnostní experti uplatniť dve rôzne metódy. Prvou je odstránenie malvéru čisto len z napadnutého zariadenia. Druhá metóda je o niečo invazívnejšia a okrem zariadenia dezinfikuje aj USB disk. Analytici priznávajú, že malvér PlugX zatiaľ nemožno kompletne zastaviť. Napadnutým krajinám ale dávajú spôsob, ako riešiť problém s malvérom.
Malvér PlugX je takzvaným červom a tento variant sa po prvýkrát objavil ešte v roku 2020. Šíril sa najmä cez napadnuté USB kľúče a disky. Napádal rôzne zariadenia a kradol z nich dokumenty. Výskumníci si však všimli, že všetky vzorky malvéru PlugX komunikovali len s jedinou IP adresou, ktorá sa nachádzala na hostovacej službe GreenCloud.
V septembri 2023 sa bezpečnostným analytikom podarilo získať do vlastníctva túto hackerskú IP adresu. Spočiatku predpokladali, že uvidia len pár tisíc obetí, ako to býva v podobných prípadoch zvykom. Neskôr sa ale ukázalo, že na tento server prúdia požiadavky z až 100-tisíc jedinečných IP adries.
Neprehliadnite
Hackeri malvér opustili
Hackeri už nekontrolujú PlugX, čo znamená, že je tento malvér “mŕtvy”. Stále však so serverom komunikuje a ak by sa niekomu túto komunikáciu podarilo zachytiť alebo ak by získali kontrolu nad serverom, potom môžu tento malvér prerobiť na iný. Bezpečnostní experti preto ponúkli krajinám, že infikované zariadenia opravia na diaľku.
Ako sme spomenuli, novší variant PlugX má schopnosti červa. Celkovo sa ale prvá známa verzia PlugX objavila ešte v roku 2008. V tomto roku vznikla čínska hackerská kampaň, ktorá cielila na pracovníkov vo vládnom sektore v Japonsku. Rozhranie malvéru umožňuje útočníkovi spravovať niekoľko infikovaných hostiteľov s funkciami, ktoré bežne vídame pri podobných malvéroch. PlugX dokáže vykonávať príkazy na diaľku, nahrávať a sťahovať súbory, preskúmať obsah disku obete a ďalšie.
V roku 2020 pridali hackeri do malvéru schopnosti červa. Znamená to, že malvér PlugX sa môže sám šíriť cez USB kľúče. V tomto bode sa začal nekontrolovateľne šíriť, čo mohlo podľa odborníkov spôsobiť to, že hackeri opustili svoj C2 server. Vyšetrovanie ukázalo, že malvér PlugX nebol stavaný na to, aby sledoval tisíce infikovaných zariadení. Mohlo sa však stať aj to, že hackeri splnili svoju úlohu a server jednoducho opustili zámerne. Bezpečnostní experti nevedia povedať, ktorý scenár platí.
Komentáre