رسمی: اف‌بی‌آی آمریکا هزاران کامپیوتر را هک کرد تا بدافزار را از روی آن‌ها پاک کند

اف‌بی‌آی در عملیاتی گسترده موفق شد با هک‌کردن ۴,۲۰۰ دستگاه کامپیوتر در سراسر ایالات متحده، بدافزار PlugX را پاک کند. هکرهای تحت‌حمایت دولت چین از این بدافزار برای سرقت اطلاعات حساس استفاده می‌کردند.

به‌ گزارش وزارت‌ دادگستری ایالات متحده، PlugX از سال ۲۰۱۲ تهدیدی دائمی در حوزه‌ی امنیت سایبری بوده است و عمدتاً ازطریق پورت‌های USB کامپیوتر‌های ویندوزی را آلوده می‌کند. این بدافزار پس‌از نصب، در پس‌زمینه فعالیت و امکان اجرای دستورهای از راه دور و دسترسی به فایل‌های سیستم قربانی را برای هکرها فراهم می‌کند.

بدافزار مذکور به گروه هکری مستقر در چین با نام‌های مستعار Mustang Panda و Twill Typhoon مرتبط است. PlugX برای فعالیت با سرور فرمان و کنترل (Command And Control) ارتباط برقرار می‌کند. این سرور که آدرس IP آن در کد بدافزار تنظیم شده، به هکرها اجازه می‌دهد تا اطلاعات دقیقی از سیستم‌های آلوده، ازجمله آدرس‌های IP آن‌ها، به دست آورند.

از سپتامبر ۲۰۲۳ (شهریور و مهر ۱۴۰۲)، اف‌بی‌آی متوجه شد که بیش از ۴۵ هزار آدرس IP در آمریکا با سرور فرمان و کنترل PlugX تماس برقرار کرده‌اند. برای کاهش تهدید یادشده این نهاد با پلیس فرانسه همکاری کرد که عملیاتی مشابه در حوزه‌ی قضایی خود اجرا می‌کرد. این دو سازمان به سرور فرمان و کنترل بدافزار دسترسی پیدا کردند و اطلاعات حیاتی درباره‌ی سیستم‌های آلوده به دست آوردند.

با استفاده از اطلاعات به‌دست‌آمده از نفوذ به سرور فرماندهی بدافزار، اف‌بی‌آی دستوری صادر کرد که به PlugX فرمان می‌داد فایل‌های مرتبط با خودش را حذف و فرایندهایش را متوقف کند و از کامپیوترهای آلوده حذف شود. این اقدام بدون نیاز به دسترسی فیزیکی به دستگاه‌های آسیب‌دیده، بدافزار را خنثی کرد.

این نخستین بار نیست که اف‌بی‌آی از تکنیک‌های خلاقانه‌ی هک برای حفاظت از شبکه‌های ایالات متحده بهره می‌گیرد. در سال ۲۰۲۲، این نهاد توانست با استفاده از نرم‌افزاری که به دستگاه‌های آلوده دستور پاک‌سازی برنامه‌ی مخرب را می‌داد، شبکه‌ی بدافزار Quakbot را از بین ببرد. در نمونه‌ای دیگر، اف‌بی‌آی در سال ۲۰۲۱ از راه‌ دور به صدها کامپیوتر متصل شد تا آن‌ها را از بدافزار Hafnium محافظت کند.