Un effort international supprime le malware PlugX de milliers d’ordinateurs Windows

Lucas Morel

La solution des autorités françaises a tiré parti de la commande d’auto-suppression ; Les États-Unis ont obtenu une ordonnance du tribunal pour l’utiliser.

Les États-Unis ont de nouveau pris des mesures approuvées par les tribunaux pour supprimer les logiciels malveillants des ordinateurs privés connectés à Internet à travers le pays, dans le cadre d’un effort déployé par un certain nombre de pays pour lutter contre les infections d’une version du logiciel malveillant PlugX provenant d’un groupe basé en Chine qui a infecté des milliers de machines Windows à travers le monde.

PlugX est un cheval de Troie d’accès à distance (RAT) constitué d’une DLL malveillante capable d’effectuer diverses actions sur le point final infecté, notamment le téléchargement et le déploiement de nouveaux modules ou plugins.

Dans un communiqué publié mardi, le ministère de la Justice et le FBI ont déclaré le 3 janvier avoir conclu un effort de cinq mois visant à supprimer discrètement une version du malware PlugX des ordinateurs aux États-Unis.

Par l’intermédiaire des fournisseurs de services Internet, le FBI informe désormais les propriétaires américains d’ordinateurs infectés de l’action autorisée par le tribunal.

Depuis septembre 2023, au moins 45 000 adresses IP rien qu’aux États-Unis ont contacté le serveur de commande et de contrôle (C2) lié au malware, ont indiqué les États-Unis dans un document judiciaire. Il n’a pas détaillé les mesures prises dans d’autres pays, mais il indique que l’opération internationale a été menée par les forces de l’ordre françaises et Sekoia.io, une société privée de cybersécurité basée en France qui a trouvé un moyen d’envoyer des commandes pour supprimer un PlugX particulier. version à partir d’appareils infectés.

Cette version de PlugX incluait la possibilité d’exécuter une commande pour se supprimer. La solution française en a profité en s’emparant du serveur C2 et en permettant l’émission de la commande delete. Les États-Unis avaient besoin d’une ordonnance du tribunal pour exécuter la commande sur des ordinateurs identifiés et infectés.

«J’adore voir ce genre d’actions de la part des forces de l’ordre mondiales», a déclaré David Shipley, PDG de la société canadienne de sensibilisation à la cybersécurité Beauceron Security. «Ils sont la meilleure solution pour attraper et jeter en prison les escrocs derrière ces crimes en ligne.»

« Dans les cas où il n’y a aucune chance raisonnable d’aboutir aux poursuites, en particulier lorsque les auteurs de menaces se trouvent dans des juridictions hostiles, démanteler leur infrastructure et éliminer les menaces actives des victimes est une grande étape », a-t-il ajouté. « C’est un excellent exemple d’imposition de coûts à la cybercriminalité, car ils vont désormais devoir reconstruire leurs réseaux de zombies. Et cela fait quelque chose pour protéger la société.

Une étape importante

Ed Dubrovksy, directeur des opérations de Cypfer, une société de réponse aux incidents, a déclaré que la réponse internationale « constitue une étape importante dans la lutte contre les logiciels malveillants sur les ordinateurs et constitue une mesure sans précédent de la part des forces de l’ordre pour protéger les actifs numériques des personnes. Cependant, cette opération a essentiellement créé ce qui pourrait être un précédent très dangereux, dans lequel les forces de l’ordre envoient des commandes éventuellement non autorisées (par les propriétaires d’appareils) aux PC des utilisateurs afin de contraindre les appareils à entreprendre certaines actions. Que cela ait été entrepris après que les utilisateurs ont fourni une sorte de consentement ou non reste à déterminer et n’est pas connu pour le moment.

« Personne ne peut prétendre que les logiciels malveillants doivent être supprimés, car ils peuvent avoir de graves conséquences sur d’autres personnes, et pas seulement sur les appareils infectés », a-t-il déclaré. « Mais les gens placent une grande partie de leurs données personnelles et confidentielles sur de tels appareils et, même si l’avis indique clairement que l’opération n’a porté aucune atteinte à la vie privée, il serait certainement intéressant de savoir si le domaine juridique pourrait interpréter l’accès obtenu par les forces de l’ordre comme étant dans le cadre des domaine de l’accès légal.

« Il serait certainement intéressant de savoir comment d’autres experts interprètent les actions entreprises et si un résultat final similaire aurait pu être obtenu en demandant aux utilisateurs de supprimer eux-mêmes le malware », a-t-il ajouté.

Panda Mustang

Selon des documents judiciaires américains, la Chine a payé le groupe Mustang Panda pour développer cette version spécifique de PlugX, distribuée via des périphériques USB infectés. Depuis au moins 2014, affirment les États-Unis, les pirates informatiques de Mustang Panda ont infiltré des milliers de systèmes informatiques dans le cadre de campagnes ciblant les victimes américaines, ainsi que les gouvernements et entreprises européens et asiatiques, ainsi que les groupes dissidents chinois.

Les sociétés de cybersécurité mettent en garde depuis des années contre Mustang Panda, que certains chercheurs appellent RedDelta, Bronze President ou Twill Typhoon, et se livrent à des activités d’espionnage depuis au moins.

En 2022, Cisco Systems a signalé que ce groupe avait lancé des campagnes de phishing contre des organisations en Europe et en Russie. Certains messages de phishing contenaient des leurres malveillants se faisant passer pour des rapports officiels de l’Union européenne sur le conflit en Ukraine et ses effets sur les pays de l’OTAN. D’autres courriels de phishing ont livré de faux rapports « officiels » du gouvernement ukrainien, qui téléchargent tous deux des logiciels malveillants sur des machines compromises.

En 2023, BlackBerry a signalé que Mustang Panda ciblait le Myanmar pour distribuer PlugX via des messages de phishing qui proviendraient d’un média local.

Une tactique efficace

Utiliser l’approbation d’un tribunal pour envoyer des commandes à des ordinateurs privés est une tactique inhabituelle mais efficace pour neutraliser les logiciels malveillants lorsqu’un pays estime que les entreprises et les particuliers n’agissent pas assez vite – mais cela ne fonctionne que lorsque les lois locales le permettent.

Les États-Unis l’ont utilisé pour la première fois en 2021, lorsqu’ils ont obtenu l’approbation du tribunal pour supprimer les shells Web malveillants de centaines d’ordinateurs américains infectés exécutant des versions sur site de Microsoft Exchange Server. En 2023, il a de nouveau utilisé cette tactique pour perturber un réseau mondial d’ordinateurs peer-to-peer compromis par le malware Snake attribué à une unité du Service fédéral de sécurité russe. L’année dernière, les États-Unis ont révélé qu’ils l’avaient fait à deux reprises : d’abord pour démanteler un botnet de routeurs infectés de petits bureaux/bureaux à domicile piratés par le groupe de piratage basé en Chine surnommé Volt Typhoon, et plus tard pour désinfecter un botnet de routeurs SOHO compromis par un Russe. groupe militaire connu des chercheurs sous le nom d’ATP28, Fancy Bear ou Forest Blizzard.

Effort international

« Le ministère de la Justice donne la priorité à l’interruption proactive des cybermenaces afin de protéger les victimes américaines, alors même que nous nous efforçons d’arrêter et de poursuivre les auteurs », a déclaré Matthew Olsen, procureur adjoint américain à la Division de la sécurité nationale du ministère de la Justice, dans un communiqué. « Cette opération, comme d’autres opérations techniques récentes contre des groupes de piratage chinois et russes comme Volt Typhoon, Flax Typhoon et APT28, s’est appuyée sur des partenariats solides pour contrer avec succès les cyberactivités malveillantes. Je félicite les partenaires du gouvernement français et du secteur privé pour avoir dirigé cette opération internationale de défense de la cybersécurité mondiale.

Dans un communiqué, les autorités françaises ont indiqué que les analystes de Sekoia avaient identifié et pris possession d’un serveur de commande et de contrôle (C2) qui animait un réseau de plusieurs millions de machines infectées, dont 3 000 en France. En collaboration avec le C3N, centre de lutte contre la délinquance numérique de la police française, elle a développé une solution technique de désinfection à distance des victimes de botnets. La France a commencé à désinfecter discrètement les ordinateurs en juillet. Comme aux États-Unis, les entreprises et les particuliers sont informés.

La solution Sekoia a également été distribuée à d’autres agences de cybersécurité via Europol. Le communiqué indique que d’autres pays ayant bénéficié de la distribution de la solution sont Malte, le Portugal, la Croatie, la Slovaquie et l’Autriche.

Les États-Unis ont obtenu en août dernier une décision de justice autorisant le gouvernement à donner des commandes aux ordinateurs infectés basés aux États-Unis pour :

  • supprimez les fichiers créés par le malware PlugX sur l’ordinateur de la victime ;
  • supprimez les clés de registre PlugX utilisées pour exécuter automatiquement l’application PlugX au démarrage de l’ordinateur victime ;
  • créez un fichier de script temporaire pour supprimer l’application PlugX après son arrêt ;
  • arrêtez l’application PlugX ;
  • et exécutez un fichier temporaire pour supprimer l’application PlugX, supprimez le répertoire créé sur l’ordinateur victime par le malware PlugX pour stocker les fichiers PlugX et supprimez le fichier temporaire de l’ordinateur victime.

L’ordonnance du tribunal américain n’autorisait la collecte d’aucune information à partir d’ordinateurs infectés.

Problèmes potentiels

Un gouvernement émettant à distance une commande à un ordinateur n’est « absolument pas conventionnel », a déclaré Will Townsend, vice-président et analyste principal de la société américaine Moor Insights & Strategy, « mais étant donné les circonstances (attaque parrainée par un État-nation), cela est probablement justifié. Cependant, cela présente un scénario intéressant étant donné qu’il n’y a pas eu d’adhésion ou de désinscription de l’utilisateur final. Que se passe-t-il si le push rend un PC mort ou corrompu ? Comment un consommateur serait-il indemnisé ?

«Je soupçonne qu’une fois que la poussière sera retombée sur cette action, une législation pourrait être proposée pour classer les menaces de logiciels malveillants qui justifient une action similaire à l’avenir. Un peu analogue à un système de classification DEFCON (un système de préparation militaire américain).