Inicjatywa francuskich organów sądowych
Francuskie organy sądowe, współpracując z Europolem, zainicjowały tzw. „operację dezynfekcji”, której celem jest oczyszczenie zainfekowanych komputerów ze znanego złośliwego oprogramowania PlugX. PlugX, również znany jako Korplug, to trojan zdalnego dostępu (RAT) wykorzystywany przez cyberprzestępców od co najmniej 2008 roku. Operacja rozpoczęła się 18 lipca i według informacji udostępnionych przez prokuraturę paryską, Parquet de Paris, potrwa przez kilka miesięcy.
PlugX jest używany głównie przez cyberprzestępców z Chin, a jego celem jest przejęcie kontroli nad zainfekowanymi komputerami poprzez wykonywanie dowolnych poleceń, przesyłanie i pobieranie plików, a także zbieranie poufnych danych. Złośliwe oprogramowanie jest zazwyczaj uruchamiane przy użyciu technik ładowania bocznego bibliotek DLL, co pozwala na ukrycie jego działania i uniknięcie wykrycia przez standardowe metody bezpieczeństwa.
Międzynarodowa współpraca w walce z zagrożeniem
Operacja „dezynfekcji” nie ogranicza się tylko do Francji. W ramach tej inicjatywy pomoc uzyskało już około stu ofiar w różnych krajach, w tym na Malcie, w Portugalii, Chorwacji, Słowacji i Austrii. Francuska firma zajmująca się cyberbezpieczeństwem, Sekoia, odegrała kluczową rolę w tej operacji. We wrześniu 2023 roku firma ta dokonała sinkhole’u serwera poleceń i kontroli (C2) powiązanego z PlugX, wydając zaledwie 7 dolarów na pozyskanie adresu IP. W wyniku tej operacji odkryto, że codziennie prawie 100 000 unikalnych publicznych adresów IP wysyłało żądania do przejętej domeny.
Sekoia opracowała również rozwiązanie umożliwiające usunięcie PlugX z zainfekowanych systemów. Zauważono jednak, że niektóre odmiany tego złośliwego oprogramowania wykorzystujące mechanizm dystrybucji za pomocą zainfekowanych dysków USB posiadają polecenie samoczynnego usunięcia („0x1005”), które pozwala na usunięcie oprogramowania z zainfekowanych stacji roboczych. Mimo to, nie ma jeszcze metody na całkowite usunięcie złośliwego oprogramowania z samych urządzeń USB.
Złożoność operacji dezynfekcji wynika nie tylko z technicznych aspektów usuwania złośliwego oprogramowania, ale także z kwestii prawnych. Zdalne usuwanie oprogramowania z systemów komputerowych wymaga zgody odpowiednich organów, w tym krajowych zespołów reagowania na incydenty komputerowe (CERT), organów ścigania oraz instytucji odpowiedzialnych za cyberbezpieczeństwo. W tym kontekście decyzje dotyczące usuwania złośliwego oprogramowania muszą być podejmowane ostrożnie, aby nie naruszyć przepisów prawnych i praw użytkowników komputerów.
PlugX to jedno z wielu złośliwych oprogramowań używanych przez cyberprzestępców do przeprowadzania ataków na organizacje i użytkowników na całym świecie. Inne rodziny złośliwego oprogramowania, takie jak Gh0st RAT i ShadowPad, są również powszechnie wykorzystywane w podobnych celach. Te narzędzia umożliwiają atakującym dostęp do zainfekowanych systemów, co pozwala na kradzież danych, szpiegostwo oraz inne nielegalne działania.
Przyszłość operacji dezynfekcji
Operacja „dezynfekcji” jest kluczowym krokiem w walce z cyberprzestępczością. Współpraca międzynarodowa oraz wykorzystanie zaawansowanych technologii pozwala na skuteczniejsze zwalczanie zagrożeń związanych ze złośliwym oprogramowaniem. Jednakże, jak pokazuje przykład PlugX, walka ta jest skomplikowana i wymaga nie tylko zaawansowanych narzędzi technicznych, ale także skoordynowanych działań prawnych i organizacyjnych.
W miarę postępu technologii cyberprzestępczość staje się coraz bardziej zaawansowana, co wymaga ciągłego doskonalenia metod i narzędzi ochrony. Operacja dezynfekcji to tylko jedno z wielu działań mających na celu ochronę użytkowników i organizacji przed zagrożeniami płynącymi z sieci. Kluczowe jest, aby organy ścigania, firmy zajmujące się cyberbezpieczeństwem oraz użytkownicy indywidualni wspólnie pracowali nad tworzeniem bezpieczniejszego środowiska cyfrowego.