Миллионы ПК под контролем PlugX: осиротевший зомби-червь все еще охотится за чужими секретами

Исследователи из компании Sekoia раскрыли тревожные подробности о вредоносном черве PlugX, который, оставшись без присмотра своих создателей много лет назад, продолжает самостоятельно распространяться и заражать миллионы компьютеров по всему миру.

PlugX, имеющий предполагаемые связи с Министерством госбезопасности Китая, впервые был замечен экспертами еще в 2008 году. В 2019-м он начал автоматически заражать USB-накопители, которые, в свою очередь, переносили вредонос на новые системы.

Специалисты выкупили IP-адрес заброшенного командного сервера и подключили к нему собственную инфраструктуру для перехвата входящего трафика (этот процесс обычно называют синкхолингом). Так они смогли оценить реальные масштабы распространения автономного PlugX. Оказалось, что сигналы от зараженных устройств поступают ежедневно с 90-100 тысяч уникальных IP-адресов. А за полгода мониторинга общее число IP достигло 2,5 миллионов.

Такого рода запросы являются стандартными для практически всех видов вредоносного программного обеспечения и обычно проходят с регулярными интервалами от нескольких минут до нескольких дней. Хотя число затронутых адресов не показывает реальное количество инфицированных ПК, объем данных все же указывает на то, что червь остается активным на тысячах, возможно, миллионах устройств.

«Изначально мы думали, что найдем всего несколько тысяч заражённых компьютеров, как это бывает с нашими обычными синкхолами», — написали исследователи из Sekoia Феликс Эйм и Шарль М. «Однако, после установки простого веб-сервера, мы стали свидетелями непрерывного потока HTTP-запросов, количество которых менялось в течение дня».

Любопытно, что наибольшая концентрация заражений наблюдается в странах, имеющих для Китая особое стратегическое значение с точки зрения военных интересов и крупных инвестиций в инфраструктуру. Специалисты уверены, что первоначальной целью распространения PlugX был кибершпионаж в пользу Пекина. Они также пишут:

"Проанализировав полученные данные, можно заметить, что более 80% от общего числа заражений составляют 15 стран. Также интересно, что у этих государств не так много общего, как это было в случае с другими вирусами, распространявшимися через USB. Вроде RETADUP, который был особенно активен в испаноговорящих странах. Это наводит на мысль, что данный вирус мог распространиться сразу от нескольких "нулевых пациентов" в разных странах".

Исследователи отмечают, что червя несложно захватить любому злоумышленнику, который может управлять IP-адресом или вмешаться в передачу данных между сервером и устройством. Таким образом команда оказалась перед непростым выбором. Они могли сохранить статус-кво, никак не вмешиваясь в ситуацию, либо активировать встроенную в PlugX функцию самодезактивации для удаленного уничтожения кода на всех компьютерах.

Казалось бы, решение очевидно. Однако второй вариант также имел свои риски. Дело в том, что даже если все ПК будут дезинфицированы, часть вредоносного кода сохранится на флешках и внешних дисках, откуда PlugX начнет свой путь заново.

Ситуацию осложняет также то, что удаление вредоносного кода с подключенных накопителей чревато потерей персональных данных пользователей. А игнорирование проблемы открывает путь к новой масштабной волне заражений по всей планете.

Исследовав все возможные сценарии, специалисты Sekoia передали право решать судьбу PlugX центрам реагирования на компьютерные инциденты и правоохранительным органам разных стран. В течение трех месяцев национальные организации по кибербезопасности смогут использовать инфраструктуру компании для рассылки команд на дезактивацию или полное удаление вредоносного кода.

Отсрочка позволит максимально тщательно и безопасно провести операцию по "обезвреживанию" PlugX с минимальными потерями. При этом окончательное решение, уничтожать ли зловредную программу, каждой стране предстоит принять самостоятельно.