ФБР взломало около 4200 компьютеров в США в рамках операции по обнаружению и удалению PlugX, вредоносного ПО, используемого хакерами из Китая для кражи информации у жертв, как было объявлено Министерством юстиции во вторник.
ФБР в недавно рассекреченном аффидевите указало, что хакерская группа из Китая, известная под названиями «Mustang Panda» и «Twill Typhoon», использовала PlugX для заражения тысяч компьютеров с системой Windows в США, Азии и Европе, начиная с 2012 года. Вредоносное ПО, которое заражает компьютеры через USB-порты, работает в фоновом режиме, позволяя хакерам удаленно получать доступ и исполнять команды на компьютерах жертв.
Чтобы достичь этого, зараженные компьютеры связываются с сервером команд и контроля, управляемым хакерами, чей IP-адрес жестко прописан в вредоносном ПО. Оттуда хакеры могут удаленно получать доступ к файлам пользователей и информацию о зараженных компьютерах, такую как их IP-адреса. По данным ФБР, по меньшей мере 45000 IP-адресов в США связались с сервером команд и контроля с сентября 2023 года.
ФБР использовало этот же эксплойт для удаления PlugX с инфицированных компьютеров. В сотрудничестве с французской полицией, которая также запустила операцию по удалению PlugX, ФБР получило доступ к серверу команд и контроля и запросило IP-адреса зараженных компьютеров. Затем оно отправило команду, чтобы PlugX удалил файлы, созданные на компьютерах жертв, остановил выполнение приложения PlugX и удалил вредоносное ПО после его остановки.
Источник: TheVerge
