Das FBI soll diese bösartige Malware, die 2,5 Millionen PCs befallen hat, „entfernen“.

Eskere Guru
Eine Person, umgeben von mehreren Computern, die auf einem Laptop tippt.
Digitale Trends

Eine aus China stammende Schadsoftware konnte nun eingedämmt werden, nachdem das FBI eine gerichtliche Anordnung erhalten hatte, den Schadcode von Tausenden Windows-PCs löschen zu lassen.

Laut PCMag hat die Behörde der Herrschaft der PlugX-Malware in den USA, die weltweit über 2,5 Millionen Geräte durch das Eindringen infizierter USB-Laufwerke befallen hat, erfolgreich ein Ende gesetzt.

In Zusammenarbeit mit dem FBI hat das Justizministerium bestätigt, dass ihm bis Dienstag eine gerichtliche Genehmigung zur Entfernung der Malware von fast 4.260 Computern und Netzwerken in den USA erteilt wurde. Mit der angekündigten Lösung wird das FBI Besitzer infizierter Maschinen über ihre Internetdienstanbieter benachrichtigen.

Dies ist nur ein Beispiel dafür, dass Bundesbehörden ein ernstes Cybersicherheitsrisiko in den Griff bekommen. In seiner Entschließung wird jedoch auf die Bedeutung der laufenden Cybersicherheitsforschung hingewiesen. Das Justizministerium erläuterte, dass es sich bei den Akteuren hinter dem Angriff um eine private Gruppe staatlich geförderter chinesischer Hacker namens „Mustang Panda“ handelt, die für die laufende Mission eine einzigartige Version der PlugX-Malware entwickelt hat.

PlugX tauchte erstmals 2008 auf, als es als Hintertür-Schwachstelle für böswillige Akteure genutzt wurde, um heimlich Windows-Rechner zu kontrollieren. Bis 2020 wurde die Malware aktualisiert, sodass sie sowohl USB-Laufwerke als auch angeschlossene PCs infiltrieren konnte. Dies wird als „wurmfähige“ Malware beschrieben, die über infizierte Peripheriegeräte zwischen Computern übertragen werden kann.

Der französische Cybersicherheitsanbieter Sekoia stellte fest, dass Mustang Panda letztendlich nicht über die Ressourcen verfügte, um die Anzahl der mit der PlugX-Malware infizierten Maschinen zu unterstützen, und gab das Projekt schließlich auf.

Ebenso beobachtete der Antivirenanbieter Sophos mehrere PlugX-Infektionen, die von einer einzigen IP-Adressquelle ausgingen. Im September 2023 zahlte der Cybersicherheitsanbieter in Zusammenarbeit mit Sekoia nur 7 US-Dollar, um Zugriff auf die IP-Adresse und die infizierten Maschinen zu erhalten. Weitere Untersuchungen ergaben einen Selbstlöschbefehl im PlugX-Code.

Im Juli 2024 erlaubten die Strafverfolgungsbehörden in Frankreich den Einsatz des Selbstlöschmechanismus zur Behebung der infizierten Maschinen. Seitdem sind auch 22 weitere Länder diesem Beispiel gefolgt.

Obwohl nicht klar ist, wie die US-Behörden die Malware von inländischen PCs entfernen wollen, sagte das FBI in einer eidesstattlichen Erklärung aus, dass es diesen Selbstlöschbefehl getestet hat und bestätigte, dass er nur die Malware entfernt und keine anderen Gerätefunktionen beeinträchtigt Übertragen Sie keinen anderen ungerechtfertigten Code.