Сетевой червь, брошенный хакерами, продолжает заражать миллионы компьютеров

Итак, это целая детективная история, в которой присутствуют не только хакеры, черви, но даже IT-специалисты, возможно, работавшие на Министерство государственной безопасности Китая.


Чуть больше года на сайте компании Sophos, которая специализируется на сетевой безопасности, появилась статья про еще одного сетевого червя. Зловредное ПО, как оказалось, действовало по всему миру, плотно охватывая страны, расположенные в 10 часовых поясах.

Эксперты Sophos выяснили, что свое путешествие по планете червь начал еще в 2019 году, когда его создатели прикрутили к нему инструмент взлома под названием PlugX. Если коротко, то PlugX перемещался на USB-флешках. Попав в новый компьютер, он моментально заражал все физические и логические диски, которые там были. Когда в ПК попадала новая флешка, то червь с PlugX тут же оказывался и на ней, чтобы потом заразить другие устройства.

Небольшое отступление: первые вариант PlugX стали фиксироваться в интернете еще в 2008 году. Большинство экспертов, которые исследовали зловреда, уверены, что страна его происхождения — Китай, а программисты, которые его написали, скорее всего, работали на спецслужбы этой страны.

Хакеры контролировали все зараженные машины с одного-единственного IP-адреса, но по какой-то неизвестной до сих пор причине полностью забросили свое детище.

Затем к расследованию подключилась Sekoia, другая и еще более серьезная контора по безопасности. Всего за 7 долларов специалистам фирмы удалось приобрести сетевой адрес, с которого контролировался червь.


— рассказывали потом специалисты Sekoia Феликс Эме и Чарльз М.

Купив IP-адрес, ранее принадлежавший неизвестным хакерам, безопасники подключили к нему собственную серверную инфраструктуру. На ней сотрудники Sekoia настроили так называемые воронки, которые перехватывали трафик, идущий от червей по всему миру, и блокировали его дальнейшее продвижение.

По словам специалистов, каждый день на их сервер приходит трафик от 90 до 100 тысяч уникальных IP-адресов. Всего за полгода исследования эксперты Sekoia собрали базу из более чем 2,5 миллионов уникальных IP-адресов.

Также специалисты по сетевой безопасности заявили, что существует несколько разновидность данного USB-червя и что им известно, по меньшей мере, три других канала, по которым осуществляется контроль и командование зараженными ПК.


— написали в своей статье исследователи Sekoia.

По одной из версий, максимальная концентрация зараженных компьютеров находится в странах с большим количеством прибрежных городов, где правительство Китая делает огромные инвестиции в местную экономику и инфраструктуру.

Также есть предположение, что большинство из пострадавших стран имели важное стратегическое значение для китайских военных объектов.

Кроме того, исследователи считают, что главной целью компании был сбор максимально возможного количества разведданных, которые правительство Китая потом могло бы использовать для вышеописанных целей.

Столь широкое распространение USB-червя поставило руководство зараженных стран в сложное положение. С одной стороны, они могут просто сохранить статус-кво, ничего не делая. С другой, в черве есть команда самоудаления, активировав которую, можно очистить компьютер от зловреда.

Правда, тут есть одно серьезное но. Дезинфекция ПК чревата удалением на них важных данных. Но если оставить диски зараженными, то рано или поздно червь с них распространится на другие машины. И даже если сейчас специалисты Sekoia дадут со своего сервера приказ деактивироваться всем червям на ПК, то всеобщая зачистка все равно не случится, так как часть компьютеров неизбежно будут находиться не в сети. Также возможно, что часть ПК с червем внутри вообще не подключены к интернету, но при этом являются вирусоносителями, и с них флешками зловред постоянно уходит в путешествие по планете.


— предложили всем пострадавшим от действий червя эксперты Sekoia.