Чуть больше года на сайте компании Sophos, которая специализируется на сетевой безопасности, появилась статья про еще одного сетевого червя. Зловредное ПО, как оказалось, действовало по всему миру, плотно охватывая страны, расположенные в 10 часовых поясах.
Эксперты Sophos выяснили, что свое путешествие по планете червь начал еще в 2019 году, когда его создатели прикрутили к нему инструмент взлома под названием PlugX. Если коротко, то PlugX перемещался на USB-флешках. Попав в новый компьютер, он моментально заражал все физические и логические диски, которые там были. Когда в ПК попадала новая флешка, то червь с PlugX тут же оказывался и на ней, чтобы потом заразить другие устройства.
Небольшое отступление: первые вариант PlugX стали фиксироваться в интернете еще в 2008 году. Большинство экспертов, которые исследовали зловреда, уверены, что страна его происхождения — Китай, а программисты, которые его написали, скорее всего, работали на спецслужбы этой страны.
Хакеры контролировали все зараженные машины с одного-единственного IP-адреса, но по какой-то неизвестной до сих пор причине полностью забросили свое детище.
Затем к расследованию подключилась Sekoia, другая и еще более серьезная контора по безопасности. Всего за 7 долларов специалистам фирмы удалось приобрести сетевой адрес, с которого контролировался червь.
Изначально мы думали, что у нас будет несколько тысяч подключенных к нему жертв, как это обычно бывает. Однако, настроив простой веб-сервер, мы увидели непрерывный поток HTTP-запросов, меняющийся в зависимости от времени суток
— рассказывали потом специалисты Sekoia Феликс Эме и Чарльз М.
Купив IP-адрес, ранее принадлежавший неизвестным хакерам, безопасники подключили к нему собственную серверную инфраструктуру. На ней сотрудники Sekoia настроили так называемые воронки, которые перехватывали трафик, идущий от червей по всему миру, и блокировали его дальнейшее продвижение.
По словам специалистов, каждый день на их сервер приходит трафик от 90 до 100 тысяч уникальных IP-адресов. Всего за полгода исследования эксперты Sekoia собрали базу из более чем 2,5 миллионов уникальных IP-адресов.
Также специалисты по сетевой безопасности заявили, что существует несколько разновидность данного USB-червя и что им известно, по меньшей мере, три других канала, по которым осуществляется контроль и командование зараженными ПК.
Основываясь на этих данных, примечательно, что примерно на 15 стран приходится более 80% от общего числа заражений. Также интересно отметить, что ведущие зараженные страны не имеют большого сходства, что наблюдалось с предыдущими USB-червями, такими как RETADUP, у которых самый высокий уровень заражения в испаноязычных странах. Это наводит на мысль о возможности того, что этот червь мог возникнуть из нескольких нулевых пользователей в разных странах
— написали в своей статье исследователи Sekoia.
По одной из версий, максимальная концентрация зараженных компьютеров находится в странах с большим количеством прибрежных городов, где правительство Китая делает огромные инвестиции в местную экономику и инфраструктуру.
Также есть предположение, что большинство из пострадавших стран имели важное стратегическое значение для китайских военных объектов.
Кроме того, исследователи считают, что главной целью компании был сбор максимально возможного количества разведданных, которые правительство Китая потом могло бы использовать для вышеописанных целей.
Столь широкое распространение USB-червя поставило руководство зараженных стран в сложное положение. С одной стороны, они могут просто сохранить статус-кво, ничего не делая. С другой, в черве есть команда самоудаления, активировав которую, можно очистить компьютер от зловреда.
Правда, тут есть одно серьезное но. Дезинфекция ПК чревата удалением на них важных данных. Но если оставить диски зараженными, то рано или поздно червь с них распространится на другие машины. И даже если сейчас специалисты Sekoia дадут со своего сервера приказ деактивироваться всем червям на ПК, то всеобщая зачистка все равно не случится, так как часть компьютеров неизбежно будут находиться не в сети. Также возможно, что часть ПК с червем внутри вообще не подключены к интернету, но при этом являются вирусоносителями, и с них флешками зловред постоянно уходит в путешествие по планете.
Из-за возможных юридических последствий, связанных с выполнением масштабной дезинфекции, подразумевающей отправку команды на рабочие станции, не принадлежащие нам, мы решили поручить национальным группам реагирования на компьютерные чрезвычайные ситуации, правоохранительным органам и органам кибербезопасности самим принять решение о проведении дезинфекции рабочих станций в соответствующих странах.
После получения списка для дезинфекции мы предоставим доступ для ее проведения в течение трех месяцев. В этот период PlugX будет отвечать на запросы от автономных систем, отмеченных для дезинфекции, командами удаления или вредоносными программами для устранения угроз
После получения списка для дезинфекции мы предоставим доступ для ее проведения в течение трех месяцев. В этот период PlugX будет отвечать на запросы от автономных систем, отмеченных для дезинфекции, командами удаления или вредоносными программами для устранения угроз
— предложили всем пострадавшим от действий червя эксперты Sekoia.
