ADVERTISEMENT
FBI(聯邦調查局)今日表示,透過發送命令,強迫惡意軟體利用其「自我刪除」功能,已成功從 4,258 台美國境內的電腦與網路中移除中國的惡意軟體。
FBI表示,中國政府資助了一個名為「野馬熊貓」(Mustang Panda)的黑客組織,開發了一個 PlugX 惡意軟體版本,用於感染、控制並竊取受害電腦上的資訊。「自 2014 年起,野馬熊貓黑客便在攻擊美國受害者,以及歐洲與亞洲的政府機構、企業和中國異議組織的行動中,滲透了數千個電腦系統。」FBI 表示。
這種惡意軟體已存在多年,但許多 Windows 電腦仍然受到感染,而其所有者卻渾然不知。FBI從法國執法機構得知一種遠端移除惡意軟體的方法,該機構已取得一台可以向受感染電腦發送指令的命令和控制伺服器(C2)的存取權限。
「當感染了此變種 PlugX 惡意軟體的電腦連接到網際網路時,PlugX 惡意軟體可以發送請求與命令和控制(C2)伺服器通訊,其 IP 地址寫死在惡意軟體中。作為回應,C2 伺服器可以向受害電腦上的 PlugX 惡意軟體發送多個可能的指令,」FBI於 12 月 20 日提交並於今天公開的宣誓書中指出。
事實證明,「PlugX 惡意軟體變種的原生功能包括一個從 C2 伺服器發送的『自我刪除』命令」。此命令可刪除應用程式、該惡意軟體創建的檔案,以及用於自動執行 PlugX 應用程式的登錄機碼。
「當受 PlugX 惡意軟體感染的電腦與 C2 伺服器通信時……FBI(與法國執法機構合作)可透過發送命令使用 PlugX 惡意軟體的原生功能,請求每台受感染電腦的 IP 位址,進而辨識位於美國的目標裝置。」宣誓書指出。「之後,FBI(與法國執法機構合作)將從 C2 伺服器發送命令,透過 PlugX 惡意軟體讓軟體自我刪除,從每台美國目標裝置上移除。」
法國安全公司 Sekoia.io 「發現並報告了發送命令以刪除感染裝置上 PlugX 版本的能力」,FBI 表示。
根據提交至美國賓夕法尼亞州東區聯邦地區法院的宣誓書,FBI 測試了自刪命令,並確認此命令不會影響任何合法功能或檔案,也不會從目標裝置傳輸任何數據。FBI 表示,他們在 2024 年 8 月至 12 月期間獲得了九份授權令,允許刪除美國境內電腦上的 PlugX 惡意軟體。
FBI 表示,他們已向託管受害者 IP 位址的網際網路服務供應商(ISP)發送通知,並要求每家 ISP 通知其客戶有關惡意軟體被刪除的情況。該行動與去年針對數百台受感染路由器的類似行動相似。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!