Исследователи из фирмы Sekoia раскрыли пугающие детали о злонамеренном черве PlugX, который, оставшись без контроля со стороны своих создателей много лет назад, продолжает самостоятельно распространяться и заражать миллионы компьютеров по всему миру.
PlugX, имеющий предположительные связи с Министерством государственной безопасности Китая, впервые был обнаружен специалистами ещё в 2008 году. В 2019 году он начал автоматически заражать USB-накопители, которые, в свою очередь, переносили вредоносное ПО на новые системы.
Специалисты приобрели IP-адрес заброшенного командного сервера и подключили к нему собственную инфраструктуру для перехвата входящего трафика (этот процесс обычно называют синкхолингом). Таким образом они смогли оценить реальные масштабы распространения автономного PlugX. Выяснилось, что сигналы от заражённых устройств поступают ежедневно с 90–100 тысяч уникальных IP-адресов. За полгода мониторинга общее число IP-адресов достигло 2,5 миллиона.
Такого рода запросы являются стандартными для практически всех видов вредоносного программного обеспечения и обычно проходят с регулярными интервалами от нескольких минут до нескольких дней. Хотя число затронутых адресов не показывает реальное количество инфицированных ПК, объём данных всё же указывает на то, что червь остаётся активным на тысячах, возможно, миллионах устройств.
«Изначально мы думали, что найдём всего несколько тысяч заражённых компьютеров, как это бывает с нашими обычными синкхолами», — написали исследователи из Sekoia Феликс Эйм и Шарль М. «Однако, после установки простого веб-сервера, мы стали свидетелями непрерывного потока HTTP-запросов, количество которых менялось в течение дня».
Любопытно, что наибольшая концентрация заражений наблюдается в странах, имеющих для Китая особое стратегическое значение с точки зрения военных интересов и крупных инвестиций в инфраструктуру. Специалисты уверены, что первоначальной целью распространения PlugX был кибершпионаж в пользу Пекина. Они также пишут:
«Проанализировав полученные данные, можно заметить, что более 80% от общего числа заражений составляют 15 стран. Также интересно, что у этих государств не так много общего, как это было в случае с другими вирусами, распространявшимися через USB. Вроде RETADUP, который был особенно активен в испаноязычных странах. Это наводит на мысль, что этот вирус мог распространиться сразу от нескольких "нулевых пациентов" в разных странах».
Исследователи отмечают, что червя несложно захватить любому злоумышленнику, который может управлять IP-адресом или вмешаться в передачу данных между сервером и устройством. Таким образом команда оказалась перед непростым выбором. Они могли сохранить статус-кво, никак не вмешиваясь в ситуацию, либо активировать встроенную в PlugX функцию самодезактивации для удалённого уничтожения кода на всех компьютерах.
Казалось бы, решение очевидно. Однако второй вариант также имел свои риски. Дело в том, что даже если все ПК будут дезинфицированы, часть вредоносного кода сохранится на флешках и внешних дисках, откуда PlugX начнёт свой путь заново.
Ситуацию осложняет также то, что удаление вредоносного кода с подключённых накопителей чревато потерей персональных данных пользователей. А игнорирование проблемы открывает путь к новой масштабной волне заражений по всей планете.
Исследовав все возможные сценарии, специалисты Sekoia передали право решать судьбу PlugX центрам реагирования на компьютерные инциденты и правоохранительным органам разных стран. В течение трёх месяцев национальные организации по кибербезопасности смогут использовать инфраструктуру компании для рассылки команд на дезактивацию или полное удаление вредоносного кода.
Отсрочка позволит максимально тщательно и безопасно провести операцию по «обезвреживанию» PlugX с минимальными потерями. При этом окончательное решение, уничтожать ли зловредную программу, каждой стране предстоит принять самостоятельно.
PlugX, имеющий предположительные связи с Министерством государственной безопасности Китая, впервые был обнаружен специалистами ещё в 2008 году. В 2019 году он начал автоматически заражать USB-накопители, которые, в свою очередь, переносили вредоносное ПО на новые системы.
Специалисты приобрели IP-адрес заброшенного командного сервера и подключили к нему собственную инфраструктуру для перехвата входящего трафика (этот процесс обычно называют синкхолингом). Таким образом они смогли оценить реальные масштабы распространения автономного PlugX. Выяснилось, что сигналы от заражённых устройств поступают ежедневно с 90–100 тысяч уникальных IP-адресов. За полгода мониторинга общее число IP-адресов достигло 2,5 миллиона.
Такого рода запросы являются стандартными для практически всех видов вредоносного программного обеспечения и обычно проходят с регулярными интервалами от нескольких минут до нескольких дней. Хотя число затронутых адресов не показывает реальное количество инфицированных ПК, объём данных всё же указывает на то, что червь остаётся активным на тысячах, возможно, миллионах устройств.
«Изначально мы думали, что найдём всего несколько тысяч заражённых компьютеров, как это бывает с нашими обычными синкхолами», — написали исследователи из Sekoia Феликс Эйм и Шарль М. «Однако, после установки простого веб-сервера, мы стали свидетелями непрерывного потока HTTP-запросов, количество которых менялось в течение дня».
Любопытно, что наибольшая концентрация заражений наблюдается в странах, имеющих для Китая особое стратегическое значение с точки зрения военных интересов и крупных инвестиций в инфраструктуру. Специалисты уверены, что первоначальной целью распространения PlugX был кибершпионаж в пользу Пекина. Они также пишут:
«Проанализировав полученные данные, можно заметить, что более 80% от общего числа заражений составляют 15 стран. Также интересно, что у этих государств не так много общего, как это было в случае с другими вирусами, распространявшимися через USB. Вроде RETADUP, который был особенно активен в испаноязычных странах. Это наводит на мысль, что этот вирус мог распространиться сразу от нескольких "нулевых пациентов" в разных странах».
Исследователи отмечают, что червя несложно захватить любому злоумышленнику, который может управлять IP-адресом или вмешаться в передачу данных между сервером и устройством. Таким образом команда оказалась перед непростым выбором. Они могли сохранить статус-кво, никак не вмешиваясь в ситуацию, либо активировать встроенную в PlugX функцию самодезактивации для удалённого уничтожения кода на всех компьютерах.
Казалось бы, решение очевидно. Однако второй вариант также имел свои риски. Дело в том, что даже если все ПК будут дезинфицированы, часть вредоносного кода сохранится на флешках и внешних дисках, откуда PlugX начнёт свой путь заново.
Ситуацию осложняет также то, что удаление вредоносного кода с подключённых накопителей чревато потерей персональных данных пользователей. А игнорирование проблемы открывает путь к новой масштабной волне заражений по всей планете.
Исследовав все возможные сценарии, специалисты Sekoia передали право решать судьбу PlugX центрам реагирования на компьютерные инциденты и правоохранительным органам разных стран. В течение трёх месяцев национальные организации по кибербезопасности смогут использовать инфраструктуру компании для рассылки команд на дезактивацию или полное удаление вредоносного кода.
Отсрочка позволит максимально тщательно и безопасно провести операцию по «обезвреживанию» PlugX с минимальными потерями. При этом окончательное решение, уничтожать ли зловредную программу, каждой стране предстоит принять самостоятельно.
