Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs

UnpluggedX

Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs

Le Département de la justice américain et le FBI ont annoncé avoir réussi à supprimer le logiciel malveillant (malware) PlugX de milliers d'ordinateurs basés aux États-Unis. Ils accusent un groupe de pirates chinois d'être à l'origine de ce malware. Les autorités américaines saluent le parquet de Paris, la gendarmerie et l’entreprise de cybersécurité française Sekoia pour la collaboration qui a permis cette opération.

Le 15 janvier à 14h26

Dans un communiqué de presse publié ce mardi 14 janvier, le Département de la justice (DOJ) américain avoir mené une opération de plusieurs mois pour supprimer le logiciel malveillant « PlugX » de milliers d'ordinateurs infectés dans le monde.

Dans un document envoyé à la justice américaine en décembre et rendu public [PDF] ce mardi, le FBI affirme qu'un groupe de pirates informatiques étatiques chinois, connu sous les noms de « Mustang Panda » et « Twill Typhoon », a utilisé une version du logiciel malveillant PlugX pour infecter, contrôler et voler des informations sur les ordinateurs des victimes « au moins depuis 2014 ».

Le FBI explique qu'il enquête depuis « au moins 2012 » sur ce malware qui a infecté des milliers d'ordinateurs sous Windows à travers le monde.

Propagation par USB

Les pirates ont utilisé PlugX pour accéder à ces ordinateurs à distance et lancer des commandes. « Par exemple, PlugX permet aux pirates de voler ("exfiltrer") des fichiers et d'autres informations stockés sur les ordinateurs infectés », explique le service américain.

« Cette variante du logiciel malveillant PlugX se propage par le port USB d'un ordinateur, infectant les périphériques USB connectés, puis se propageant potentiellement à d'autres ordinateurs sous Windows sur lesquels le périphérique USB est ensuite branché » détaille le FBI.

« Une fois qu'il a infecté l'ordinateur victime, le logiciel malveillant reste sur la machine (persistance), notamment en créant des clés de registre qui exécutent automatiquement l'application PlugX au démarrage de l'ordinateur. Les propriétaires d'ordinateurs infectés par le logiciel malveillant PlugX ne sont généralement pas au courant de l'infection », ajoute-t-il.

Plus de 4 200 ordinateurs désinfectés aux États-Unis

Le service américain a donc demandé à la Justice la permission de mettre en place une opération de désinstallation de PlugX sur les ordinateurs infectés.

Au total, le département de la Justice américain annonce que « cette opération autorisée par la justice a permis de supprimer le logiciel malveillant PlugX d'environ 4 258 ordinateurs et réseaux basés aux États-Unis ».

Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé.

Une collaboration avec la France et l'entreprise de sécurité Sekoia

Le communiqué de presse du DOJ salue comme rarement la collaboration avec la France sur le sujet : « cette opération n'aurait pas été couronnée de succès sans la précieuse collaboration de la division cybernétique du parquet de Paris, de l'unité cybernétique de la gendarmerie française C3N et de Sekoia.io ».

« L'opération internationale a été menée par les forces de l'ordre françaises et Sekoia.io, une société privée de cybersécurité basée en France, qui avait identifié et signalé la possibilité d'envoyer des commandes pour supprimer la version PlugX des appareils infectés », ajoute-t-il.

Le communiqué explique qu' « en collaboration avec ces partenaires, le FBI a testé les commandes, confirmé leur efficacité et déterminé qu'elles n'avaient pas d'impact sur les fonctions légitimes des ordinateurs infectés et qu'elles ne recueillaient pas d'informations sur le contenu de ces derniers ».

Le Parquet de Paris avait annoncé [PDF] en juillet dernier, qu' « à la suite d’un signalement de la société Sekoia », il avait « ouvert une enquête préliminaire [...] confiée au C3N (centre de lutte contre les criminalités numériques de la gendarmerie nationale) concernant un réseau de machines zombies (botnet) comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France, utilisé notamment à des fins d’espionnage ». Il expliquait que les machines des victimes avaient été infectées par PlugX.

« En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet », ajoutait le parquet qui expliquait avoir lancé l'opération en collaboration avec des partenaires étrangers le 18 juillet et que celle-ci se poursuivrait pendant plusieurs mois.

Ce mardi, le Chief intelligence officer de Sekoia, François Deruty a publié un très sobre message sur Bluesky : « Coopération internationale, fierté de l'équipe TDR de sekoia.io ».

Commentaires (10)

votre avatar
Comment ça ? Ils ont réussi à désinstaller OneDrive sur autant d'ordinateurs d'un seul coup ? :mad2:
votre avatar
Ils ont bloqués l’accès à tiktok et à X en même temps :francais:
votre avatar
En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet
Attend un peu... c'est quand même dingo cette histoire.
Un ordinateur derrière une box (config par défaut -> ne laisse rien entrer) pourrait donc exécuter du code à distance ?
Ho wait...
votre avatar
J'ai pas lu plus sur ce sujet. Mais sur d'autres actions du même genre, ils avaient pris le contrôle du serveur qui envoyait les commandes au malware et lui envoyer une commande d'auto-destruction.
votre avatar
Ils on l'air d'utiliser les commandes du centre de commande qui les pilotes.
Ils se font probablement passer pour ce centre de commande.
Et comme le logiciel attend des commandes, il a probablement ouvert un port sur la box pour recevoir ces commandes (upnp port forwarding).
votre avatar
Rien d'initié de dehors ne rentre, mais heureusement que ce que tu inities vers l'extérieur peut renvoyer ses réponses sinon autant débrancher la fibre...
L'exploiter est d'ailleurs une fonctionnalité d'outils type ssh: Un reverse tunnel initié d'une machine que l'on veut rendre accessible à qqun situé dehors, sans toucher a la configuration du LAN/FW, permettra à celui qui est dehors d'initier une connexion entrante via ce tunnel pour se connecter à la machine. Le seul requis est d'avoir le serveur ssh (pas seulement le client) des 2 côtés (il peut, c'est même conseillé si pas d'autre usage, être barré niveau config FW machine distante par sécurité car il n'est pas utile qu'il soit accessible dans ce cadre).
Très pratique pour gérer l'aide à des proches par exemple: Suffit de leur laisser un script presse-bouton sur le bureau initiant le tunnel, avec sur sa propre machine un compte dédié et limité (voir sans même un shell), en mode authentification par clef, réservé a cet usage.
Et sans besoin (bonne dose de confiance incluse) d'utiliser des outils faisant passer par un tiers (log-me-in et autres solutions d'accès à distance passe FW).
Ils ont juste à cliquer sur le truc et tu "remonte" le tunnel établi sur le port utilisé avec pour adresse ton localhost, pour te connecter à la machine comme si tu étais chez eux!
votre avatar
J'avoue, j'ai du mal à comprendre cette parti là :
"Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé."

Si je suis le raisonnement, le FBi a recencé des machines infectés.
Puis les a (fait ?) néttoyé.
Et seulement après cherche à les identifiés et demande à des tiers des les prevenirs des actions qu'il (le FBI) à fait.

J'arrive à pas à savoir si c'est positif ou pas.
votre avatar
C'est positif.
Le premier point est qu'ils ont eu des mandats (9) de la justice pour nettoyer les PC, ils n'agissent donc pas de leur seule initiative mais après autorisation de la justice.
Ils demandent à des tiers (les FAI) de prévenir leurs clients parce qu'ils ne savent pas le faire (ils ne connaissent ni leur adresse mail ni leur adresse postale ni même leur nom). Ils les ont probablement désigné par une adresse IP, un port (?) et un horodatage pour cette adresse IP. Ils n'ont donc récupéré eux-mêmes aucune information dans ces PC infectés.

Enfin, nettoyer les PC avant de prévenir les propriétaires me semble une bonne chose afin que ces derniers n'essaient pas de nettoyer et ne mettent ainsi le bazar dans l'opération.
votre avatar
Ok. Merci bcp.
C'est positif au final. :-)
votre avatar
Annoncer aux utilisateurs des machines infectées qu'ils ont une vérole et qu'un ménage va être fait ne semble pas non plus avoir la discrétion requise pour ce type d'opération!
J'imagine, à notre magnifique époque réseaux sociaux, tout ces utilisateurs s'alarmant que le FBI leur a écrit et quoi... si toutefois la vérole ne capte pas directement les mails reçus.
Pour planter le truc, c'est sans doute encore mieux qu'annoncer soit-même ce que l'on va faire. :fumer:

Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs

  • Propagation par USB

  • Plus de 4 200 ordinateurs désinfectés aux États-Unis

  • Une collaboration avec la France et l'entreprise de sécurité Sekoia

Fermer