[
افبیآی به تازگی موفق شد بدافزار PlugX را که توسط هکرهای وابسته به دولت چین استفاده میشد، از 4200 دستگاه آلوده در ایالات متحده حذف کند. این خبر را وزارت دادگستری آمریکا روز سهشنبه اعلام کرد.
طبق اسنادی که به تازگی منتشر شدهاند، اف بی آی اعلام کرده که یک گروه هکری مستقر در چین، با نامهای مستعار Mustang Panda و Twill Typhoon، از سال 2012 با استفاده از بدافزار PlugX هزاران کامپیوتر ویندوزی را در آمریکا، آسیا و اروپا آلوده کرده است.
این بدافزار از طریق پورتهای USB به کامپیوترها نفوذ کرده و در پسزمینه فعالیت میکند، در حالی که به هکرها امکان دسترسی از راه دور و اجرای دستورات روی سیستم قربانی را میدهد.
بدافزار PlugX چگونه عمل میکرد؟
کامپیوترهای آلوده برای برقراری ارتباط با یک سرور کنترل و فرمان (command-and-control) که آدرس IP آن بهطور مستقیم در بدافزار کدنویسی شده است، متصل میشوند. این سرور به هکرها اجازه میدهد تا به فایلهای کاربران دسترسی پیدا کنند و اطلاعاتی مانند آدرسهای IP کامپیوترهای آلوده را به دست آورند. به گفته افبیآی، از سپتامبر 2023، دستکم 45 هزار آدرس IP در آمریکا با این سرور تماس گرفتهاند.
آنطور که theverge گزارش کرده، افبیآی برای حذف این بدافزار، از همین ضعف استفاده کرد و توانست با همکاری پلیس فرانسه که خود نیز عملیاتی مشابه را آغاز کرده بود، اقدام به حذف بدافزار PlugX کند. اف بی آی با با دسترسی به سرور کنترل و فرمان، به آی پیهای دستگاهها آلوده رسید و سپس با ارسال یک فرمان به این دستگاهها، دستور حذف فایلهای ایجادشده توسط PlugX، متوقف کردن برنامه و در نهایت پاک کردن بدافزار را صادر کرد.
این اولین باری نیست که اف بی آی چنین عملیاتی را انجام میدهد. سال گذشته، این سازمان با شبکهای از کامپیوترهای آلوده به بدافزار Quakbot مقابله کرد و با دستور دانلود نرمافزار پاکسازی، این بدافزار را از دستگاههای قربانی حذف کرد. همچنین در سال 2021، اف بی آی صدها کامپیوتر را به صورت از راه دور هک کرد تا آنها را از حمله Hafnium محافظت کند.
بیشتر بخوانید:
منبع ]
