اف‌بی‌آی به تازگی موفق شد بدافزار  PlugX را که توسط هکرهای وابسته به دولت چین استفاده می‌شد، از 4200 دستگاه آلوده در ایالات متحده حذف کند. این خبر را وزارت دادگستری آمریکا روز سه‌شنبه اعلام کرد.

طبق اسنادی که به تازگی منتشر شده‌اند، اف‌ بی‌ آی اعلام کرده که یک گروه هکری مستقر در چین، با نام‌های مستعار Mustang Panda و Twill Typhoon، از سال 2012 با استفاده از بدافزار PlugX هزاران کامپیوتر ویندوزی را در آمریکا، آسیا و اروپا آلوده کرده است.

این بدافزار از طریق پورت‌های USB به کامپیوترها نفوذ کرده و در پس‌زمینه فعالیت می‌کند، در حالی که به هکرها امکان دسترسی از راه دور و اجرای دستورات روی سیستم قربانی را می‌دهد.

بدافزار PlugX چگونه عمل می‌کرد؟

کامپیوترهای آلوده برای برقراری ارتباط با یک سرور کنترل و فرمان (command-and-control) که آدرس IP آن به‌طور مستقیم در بدافزار کدنویسی شده است، متصل می‌شوند. این سرور به هکرها اجازه می‌دهد تا به فایل‌های کاربران دسترسی پیدا کنند و اطلاعاتی مانند آدرس‌های IP کامپیوترهای آلوده را به دست آورند. به گفته اف‌بی‌آی، از سپتامبر 2023، دست‌کم 45 هزار آدرس IP در آمریکا با این سرور تماس گرفته‌اند.

آنطور که theverge گزارش کرده، اف‌بی‌آی برای حذف این بدافزار، از همین ضعف استفاده کرد و توانست با همکاری پلیس فرانسه که خود نیز عملیاتی مشابه را آغاز کرده بود، اقدام به حذف بدافزار PlugX کند. اف بی آی با با دسترسی به سرور کنترل و فرمان، به آی پی‌های دستگاه‌ها آلوده رسید و سپس با ارسال یک فرمان به این دستگاه‌ها، دستور حذف فایل‌های ایجادشده توسط PlugX، متوقف کردن برنامه و در نهایت پاک کردن بدافزار را صادر کرد.

این اولین باری نیست که اف‌ بی‌ آی چنین عملیاتی را انجام می‌دهد. سال گذشته، این سازمان با شبکه‌ای از کامپیوترهای آلوده به بدافزار Quakbot مقابله کرد و با دستور دانلود نرم‌افزار پاکسازی، این بدافزار را از دستگاه‌های قربانی حذف کرد. همچنین در سال 2021، اف‌ بی‌ آی صدها کامپیوتر را به صورت از راه دور هک کرد تا آن‌ها را از حمله Hafnium محافظت کند.

بیشتر بخوانید: