Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs

UnpluggedX

Le Département de la justice américain et le FBI ont annoncé avoir réussi à supprimer le logiciel malveillant (malware) PlugX de milliers d'ordinateurs basés aux États-Unis. Ils accusent un groupe de pirates chinois d'être à l'origine de ce malware. Les autorités américaines saluent le parquet de Paris, la gendarmerie et l’entreprise de cybersécurité française Sekoia pour la collaboration qui a permis cette opération.

Martin Clavey

Le 15 janvier à 14h26

4 min

Sécurité

Dans un communiqué de presse publié ce mardi 14 janvier, le Département de la justice (DOJ) américain annonce avoir mené une opération de plusieurs mois pour supprimer le logiciel malveillant « PlugX » de milliers d'ordinateurs infectés dans le monde.

Dans un document envoyé à la justice américaine en décembre et rendu public [PDF] ce mardi, le FBI affirme qu'un groupe de pirates informatiques étatiques chinois, connu sous les noms de « Mustang Panda » et « Twill Typhoon », a utilisé une version du logiciel malveillant PlugX pour infecter, contrôler et voler des informations sur les ordinateurs des victimes « au moins depuis 2014 ».

Le FBI explique qu'il enquête depuis « au moins 2012 » sur ce malware qui a infecté des milliers d'ordinateurs sous Windows à travers le monde.

Propagation par USB

Les pirates ont utilisé PlugX pour accéder à ces ordinateurs à distance et lancer des commandes. « Par exemple, PlugX permet aux pirates de voler ("exfiltrer") des fichiers et d'autres informations stockés sur les ordinateurs infectés », explique le service américain.

« Cette variante du logiciel malveillant PlugX se propage par le port USB d'un ordinateur, infectant les périphériques USB connectés, puis se propageant potentiellement à d'autres ordinateurs sous Windows sur lesquels le périphérique USB est ensuite branché » détaille le FBI.

« Une fois qu'il a infecté l'ordinateur victime, le logiciel malveillant reste sur la machine (persistance), notamment en créant des clés de registre qui exécutent automatiquement l'application PlugX au démarrage de l'ordinateur. Les propriétaires d'ordinateurs infectés par le logiciel malveillant PlugX ne sont généralement pas au courant de l'infection », ajoute-t-il.

Plus de 4 200 ordinateurs désinfectés aux États-Unis

Le service américain a donc demandé à la Justice la permission de mettre en place une opération de désinstallation de PlugX sur les ordinateurs infectés.

Au total, le département de la Justice américain annonce que « cette opération autorisée par la justice a permis de supprimer le logiciel malveillant PlugX d'environ 4 258 ordinateurs et réseaux basés aux États-Unis ».

Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé.

Une collaboration avec la France et l'entreprise de sécurité Sekoia

Le communiqué de presse du DOJ salue comme rarement la collaboration avec la France sur le sujet : « cette opération n'aurait pas été couronnée de succès sans la précieuse collaboration de la division cybernétique du parquet de Paris, de l'unité cybernétique de la gendarmerie française C3N et de Sekoia.io ».

« L'opération internationale a été menée par les forces de l'ordre françaises et Sekoia.io, une société privée de cybersécurité basée en France, qui avait identifié et signalé la possibilité d'envoyer des commandes pour supprimer la version PlugX des appareils infectés », ajoute-t-il.

Le communiqué explique qu' « en collaboration avec ces partenaires, le FBI a testé les commandes, confirmé leur efficacité et déterminé qu'elles n'avaient pas d'impact sur les fonctions légitimes des ordinateurs infectés et qu'elles ne recueillaient pas d'informations sur le contenu de ces derniers ».

Le Parquet de Paris avait annoncé [PDF] en juillet dernier, qu' « à la suite d’un signalement de la société Sekoia », il avait « ouvert une enquête préliminaire [...] confiée au C3N (centre de lutte contre les criminalités numériques de la gendarmerie nationale) concernant un réseau de machines zombies (botnet) comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France, utilisé notamment à des fins d’espionnage ». Il expliquait que les machines des victimes avaient été infectées par PlugX.

« En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet », ajoutait le parquet qui expliquait avoir lancé l'opération en collaboration avec des partenaires étrangers le 18 juillet et que celle-ci se poursuivrait pendant plusieurs mois.

Ce mardi, le Chief intelligence officer de Sekoia, François Deruty a publié un très sobre message sur Bluesky : « Coopération internationale, fierté de l'équipe TDR de sekoia.io ».

Commentaires (23)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

montreuillois Premium

Le 15/01/2025 à 14h58

Comment ça ? Ils ont réussi à désinstaller OneDrive sur autant d'ordinateurs d'un seul coup ?

xillibit Premium

Le 15/01/2025 à 15h05

Ils ont bloqués l’accès à tiktok et à X en même temps

gg40 Premium

Le 15/01/2025 à 15h15

En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet

Attend un peu... c'est quand même dingo cette histoire.
Un ordinateur derrière une box (config par défaut -> ne laisse rien entrer) pourrait donc exécuter du code à distance ?
Ho wait...

pelotio Premium

Le 15/01/2025 à 15h29

J'ai pas lu plus sur ce sujet. Mais sur d'autres actions du même genre, ils avaient pris le contrôle du serveur qui envoyait les commandes au malware et lui envoyer une commande d'auto-destruction.

fred42 Premium

Le 15/01/2025 à 15h32

Ils on l'air d'utiliser les commandes du centre de commande qui les pilotes.
Ils se font probablement passer pour ce centre de commande.
Et comme le logiciel attend des commandes, il a probablement ouvert un port sur la box pour recevoir ces commandes (upnp port forwarding).

Berbe Premium

Modifié le 15/01/2025 à 18h13

Sans même forcément un port ouvert en entrée.
Le principe des botnets est de recevoir des ordres d'un centre de contrôle (Command & Control, C&C… non pas Command & Conquer

) et peut tout à fait se faire en interrogeant régulièrement le serveur de contrôle en sortie (polling), d'autant plus que l'immédiateté de la réception des ordres n'est en général pas un critère prépondérant.

Par ailleurs ouvrir un port en entrée voudrait dire pivoter de l'ordinateur infecté à l'équipement filtrant en entrée, généralement la box en France, et on peut imaginer un même système de modem-routeur aux États-unis, même si potentiellement c'est en Amérique du Nord au client du FAI de s'équiper lui-même ou de l'acheter auprès du fournisseur.
Bien plus complexe donc face à la potentielle grande diversité d'équipements (constructeur, matériel et/ou logiciel).

Le plus simple AMHA est l'interrogation régulière en sortie.

fred42 Premium

Le 15/01/2025 à 18h25

Oui, ça peut être de l'interrogation d'un serveur. J'ai voulu rester simple. Dans ce cas, il faut intercepter le trafic.
Mais l'upnp pour faire du port forwarding, c'est commun à la plupart des routeurs et des box et activé par défaut pour beaucoup (afin de faciliter la vie des utilisateurs (et hélas aussi des méchants)) : il n'y a donc rien à adapter.

Berbe Premium

Modifié le 17/01/2025 à 14h05

Une DMZ activée par défaut sur des routeurs ? As-tu des exemples en tête ?

fred42 Premium

Le 17/01/2025 à 14h43

Je n'ai pas parlé de DMZ.

Modifié le 15/01/2025 à 16h57

Rien d'initié de dehors ne rentre, mais heureusement que ce que tu inities vers l'extérieur peut renvoyer ses réponses sinon autant débrancher la fibre...
L'exploiter est d'ailleurs une fonctionnalité d'outils type ssh: Un reverse tunnel initié d'une machine que l'on veut rendre accessible à qqun situé dehors, sans toucher a la configuration du LAN/FW, permettra à celui qui est dehors d'initier une connexion entrante via ce tunnel pour se connecter à la machine. Le seul requis est d'avoir le serveur ssh (pas seulement le client) des 2 côtés (il peut, c'est même conseillé si pas d'autre usage, être barré niveau config FW machine distante par sécurité car il n'est pas utile qu'il soit accessible dans ce cadre).
Très pratique pour gérer l'aide à des proches par exemple: Suffit de leur laisser un script presse-bouton sur le bureau initiant le tunnel, avec sur sa propre machine un compte dédié et limité (voir sans même un shell), en mode authentification par clef, réservé a cet usage.
Et sans besoin (bonne dose de confiance incluse) d'utiliser des outils faisant passer par un tiers (log-me-in et autres solutions d'accès à distance passe FW).
Ils ont juste à cliquer sur le truc et tu "remonte" le tunnel établi sur le port utilisé avec pour adresse ton localhost, pour te connecter à la machine comme si tu étais chez eux!

Colossale-Autruche-sélective

Modifié le 16/01/2025 à 18h02

J'utilisais il y a quelques années ZoneAlarm Firewall (Free Edition).

Dès qu'un programme voulait accéder à Internet pour la 1ere fois, hop automatiquement un pop-up...

La limite de la protection, c'est quand c'est régulièrement "le" ou plutôt "un" programme svhost qui veut aller sur internet.

A moins de creuser avec du sysinternals tools par exemple qui c'est qui est vraiment le demandeur, bon, ben on valide encore une fois de plus et basta... et vu tous les services et composants Windows qui veulent Internet maintenant...

RuMaRoCO Premium

Le 15/01/2025 à 15h50

J'avoue, j'ai du mal à comprendre cette parti là :
"Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé."

Si je suis le raisonnement, le FBi a recencé des machines infectés.
Puis les a (fait ?) néttoyé.
Et seulement après cherche à les identifiés et demande à des tiers des les prevenirs des actions qu'il (le FBI) à fait.

J'arrive à pas à savoir si c'est positif ou pas.

fred42 Premium

Le 15/01/2025 à 16h22

C'est positif.
Le premier point est qu'ils ont eu des mandats (9) de la justice pour nettoyer les PC, ils n'agissent donc pas de leur seule initiative mais après autorisation de la justice.
Ils demandent à des tiers (les FAI) de prévenir leurs clients parce qu'ils ne savent pas le faire (ils ne connaissent ni leur adresse mail ni leur adresse postale ni même leur nom). Ils les ont probablement désigné par une adresse IP, un port (?) et un horodatage pour cette adresse IP. Ils n'ont donc récupéré eux-mêmes aucune information dans ces PC infectés.

Enfin, nettoyer les PC avant de prévenir les propriétaires me semble une bonne chose afin que ces derniers n'essaient pas de nettoyer et ne mettent ainsi le bazar dans l'opération.

RuMaRoCO Premium

Le 15/01/2025 à 16h41

Ok. Merci bcp.
C'est positif au final. :-)

Le 15/01/2025 à 16h32

Annoncer aux utilisateurs des machines infectées qu'ils ont une vérole et qu'un ménage va être fait ne semble pas non plus avoir la discrétion requise pour ce type d'opération!
J'imagine, à notre magnifique époque réseaux sociaux, tout ces utilisateurs s'alarmant que le FBI leur a écrit et quoi... si toutefois la vérole ne capte pas directement les mails reçus.
Pour planter le truc, c'est sans doute encore mieux qu'annoncer soit-même ce que l'on va faire.

Iroise29 Premium

Le 15/01/2025 à 18h04

De ce que je comprends ce n'est pas le FBI qui prévient les utilisateurs mais le FAI

Modifié le 16/01/2025 à 12h18

En quoi cela changerait le problème? Le FAI ne fait que le facteur du courrier du FBI, pouvant mettre un nom (et un email) sur les IP de ses clients.

fred42 Premium

Le 16/01/2025 à 12h34

Comme pour l'ARCOM (ex-HADOPI) en France.

Iroise29 Premium

Le 16/01/2025 à 14h39

Je répondais plus sur la partie "tout ces utilisateurs s'alarmant que le FBI leur a écrit".
J'imagine un effet moins alarmant si c'est le FAI qui prévient plutôt que le FBI.

Colossale-Autruche-sélective

Modifié le 16/01/2025 à 18h14

Bon, les locaux de sekoia.io, à moins qu'il y a un secret basement comme dans les films d'espionnage à la James Bond, sinon comme on dit, ça casse pas 3 pattes à un canard...

Regardez néanmoins comment la fenêtre à droite a été renforcée et "blindée"...

fred42 Premium

Le 16/01/2025 à 19h15

Il s'agit de leur établissement secondaire à Paris. De plus, j'ai l'impression que le RdC n'est pas à eux (plaque parlant de la RATP (un poste de redressement ? je lis mal) il me semble d'où probablement la fenêtre renforcée)

Leur établissement principal est dans un immeuble plus moderne. Ils doivent n'en occuper qu'une partie, leur effectif étant de 100 employés.

Colossale-Autruche-sélective

Modifié le 16/01/2025 à 21h57

gachdel

Le 18/01/2025 à 20h03

Wow, c'est une boîte rennaise?