Федеральное бюро расследований США взломало более 4,2 тыс. компьютеров для удаления троянского ПО PlugX, контролируемого китайской хакерской группировкой Mustang Panda, также известной как Twill Typhoon. Об этом сообщает “Хабр” со ссылкой на отчет Министерства юстиции США.
Согласно отчету Минюста, в 2024 году жертвами атак PlugX стали европейские судоходные компании, а в 2021-2023 годах — правительства европейских стран, китайские диссиденты и правительства в Индо-Тихоокеанском регионе, включая Тайвань, Гонконг, Японию, Южную Корею, Монголию, Индию, Мьянму, Индонезию, Филиппины, Таиланд, Вьетнам и Пакистан.
Заражение компьютера происходит через USB-накопители, после чего вредоносное ПО остается на компьютере жертвы, создавая ключи реестра, которые автоматически активируют PlugX при запуске системы. Владельцы устройств обычно не знают о заражении.
Одобренные судом действия ФБР стали частью глобальной операции по удалению вредоносного ПО, проводимой французской компанией Sekoia. Операция началась в июле 2024 года, когда французская полиция и Европол удалили PlugX с зараженных устройств во Франции.
В конце лета 2024 года Минюст США и ФБР получили первый из девяти ордеров, разрешающих удаление PlugX с компьютеров в США. Последний ордер истек 3 января 2025 года, что завершило американскую часть операции.
PlugX используется для атак с 2008 года для кибершпионажа и удаленного доступа. Жертвами становились правительственные, оборонные, технологические и политические организации в Азии и по всему миру. PlugX обладает широкими возможностями, включая сбор системной информации, загрузку и скачивание файлов, регистрацию нажатий клавиш и выполнение команд.
Ранее владельцев iPhone предупредили об уязвимости в USB-C.