PlugX kötü amaçlı yazılımı yeni değil. Bu kötü amaçlı yazılımın ilk ortaya çıkışı çok eskilere dayanıyor Trend Micro şirketine göre 2008 yılına kadar. Eylül 2023’te siber güvenlik şirketi Sekoia, Bu kötü amaçlı yazılımın altyapısının kontrolünü ele alın. Siber güvenlik şirketinin analistleri, bu kötü amaçlı yazılımın komut sunucusunu barındırmak için kullanılan IP adresinin artık atanmadığını tespit etti. Araştırmacılar, sunucuyla iletişime geçerek botnet’in kontrolünü 7 dolar gibi mütevazı bir miktar karşılığında ele geçirmeyi başardılar ve bu erişimden yararlanarak kötü amaçlı yazılımın nasıl çalıştığını daha ayrıntılı olarak incelediler ve aynı zamanda hedef ulusal yetkililere dezenfeksiyon araçları sundular.
Bir solucan, ama hangi amaçla?
Uzaktan yönetim özelliklerine sahip olan PlugX, 2010’ların başında çoğunlukla Asya hedeflerini hedefleyen çeşitli kampanyalarda tespit edildi. Başlangıçta bu kötü amaçlı yazılım, hedefli saldırılarda çeşitli APT türü gruplar tarafından kullanıldı. Ve şüpheler esas olarak Çinli aktörlere yönelikti. Ancak yıllar geçtikçe birçok kötü aktör bu aracı kullandı ve bu da ilişkilendirmeyi karmaşık hale getirdi. Kötü amaçlı yazılım zaman içinde çeşitli evrimler ve iyileştirmeler geçirdi ve bu da bazı araştırmacıların onu PlugX “ailesi” olarak adlandırmasına yol açtı.
Ancak 2020’den bu yana PlugX, tasarımcıları tarafından solucan benzeri yeteneklerle donatıldı ve virüs bulaşmış USB sürücüler aracılığıyla otomatik olarak yayılmasına olanak tanıdı. Çalışma modunun bu gelişimi, PlugX’in bulaştığı makinelerin sayısının önemli ölçüde artmasına olanak tanıdı. Sekoia böylece 170’den fazla ülkede 6 aylık bir süre boyunca kontrol sunucusuna bağlanmaya çalışan 2,5 milyon benzersiz IP adresi belirledi. Siber güvenlik şirketi yine de botnet boyutunun düzenli olarak değiştiğini hatırlatarak bu rakamı yumuşatıyor.
PlugX’in bulaştığı farklı makinelerin kökenini analiz etmek, araştırmacıların bu kötü amaçlı yazılımın hedeflerini sorgulamasına olanak sağladı. “Programa Hindistan dışında birçok ülke katılıyor Yeni İpek Yolları Çin tarafından kurulmuş ve Çin yatırımlarının önemli olduğu kıyı şeridine sahip. […] Sonuç olarak, bu solucanın, başta denizcilik ve ekonomik alanlar olmak üzere, Yeni İpek Yolları girişimi ile ilgili stratejik ve güvenlik konularında birçok ülkede istihbarat toplamak amacıyla geliştirilmiş olması akla yatkındır,” diye açıklıyor Sekoia’daki analistler.
Egemen dezenfeksiyon
Projenin son aşaması makinelerin dezenfekte edilmesi. Kötü amaçlı yazılım üzerinde yapılan çalışma, kötü amaçlı yazılımın gerçekten de virüslü makineleri uzaktan dezenfekte edecek bir mekanizma ile donatıldığını ortaya çıkardı. Sekoia araştırmacılarının, kontrol sunucusu tarafından kullanılan IP adresinin kontrolünü ele geçirmesinden bu yana uzaktan etkinleştirebildiği bir mekanizma. Ancak araştırmacılar, bu yöntemin, kötü amaçlı yazılımın yayılmasından sorumlu olan USB anahtarlarını temizlemediğini vurguluyor. Bu senaryoya yanıt vermek için Sekoia araştırmacıları, cihaza bağlı USB anahtarlarını da dezenfekte etmek amacıyla ek talimatlar göndermeyi içeren ikinci bir yaklaşım öneriyor.
Bu ikinci yaklaşım yine de Sekoia araştırmacıları tarafından “daha müdahaleci” olarak değerlendiriliyor. Ek komutlar göndermenizi ve USB anahtarının dizin sistemini değiştirmenizi ister. Bu nedenle daha fazla önlem almayı gerektirir.
Son yıllarda virüs bulaşmış makinelerin çok sayıda uzaktan dezenfeksiyon operasyonuna tanık olsak da, bunlar genellikle kolluk kuvvetleri tarafından gerçekleştiriliyor. Sekoia analistleri bu nedenle daha temkinli bir yaklaşımı tercih etti. Bu dezenfeksiyon operasyonuyla bağlantılı yasal riskleri öne süren araştırmacılar, kolluk kuvvetlerine ve ulusal siber güvenlik yetkililerine, ülkelerindeki virüslü makinelerin sayısından haberdar olmalarını ve aşamalı dezenfeksiyonu etkinleştirmelerini sağlayacak bir araç sunmayı tercih etti. ilgili cihazlar.