ФБР утверждает, что китайская хакерская группа, известная под именами Mustang Panda и Twill Typhoon, использовала вредоносное программное обеспечение PlugX для заражения тысяч компьютеров с Windows в США, Азии и Европе по крайней мере с 2012 года. Вредоносная программа, заражающая компьютеры через USB-порты, работает в фоновом режиме, позволяя хакерам удаленно получить доступ и выполнить команды на компьютерах жертв.

Для этого зараженные компьютеры связываются с управляемым хакерами командно-контрольным сервером, IP-адрес которого жестко закодирован во вредоносном программном обеспечении. Оттуда хакеры могут удаленно получить доступ к файлам пользователей и информацию о зараженных компьютерах, например их IP-адреса. По данным правоохранителей, с сентября 2023 года по меньшей мере 45 000 IP-адресов в США подключились к командно-контрольному серверу.

Читайте также:

Это для дела. ФБР создало фейковую криптовалюту на основе Ethereum

В сотрудничестве с французскими правоохранительными органами, которые запустили собственную операцию по удалению PlugX, ФБР получило доступ к командно-контрольному серверу и запросило IP-адреса зараженных компьютеров. Затем эксперты бюро направили собственную команду, чтобы заставить PlugX удалить файлы, которые ПО создало на компьютерах жертв, остановить работу программы PlugX и удалить вредоносное программное обеспечение после его остановки. В рамках операции по поиску и удалению PlugX с зараженных компьютеров, ФБР взломало около 4200 компьютеров в США.

Напомним, в прошлом году ФБР подобным образом демонтировало сеть инфицированных компьютеров Quakbot, приказав устройствам загружать программное обеспечение для удаления вредоносного ПО. Агентство также дистанционно взломало сотни компьютеров, чтобы защитить их от взлома Hafnium в 2021 году.