Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs
UnpluggedX
Le Département de la justice américain et le FBI ont annoncé avoir réussi à supprimer le logiciel malveillant (malware) PlugX de milliers d'ordinateurs basés aux États-Unis. Ils accusent un groupe de pirates chinois d'être à l'origine de ce malware. Les autorités américaines saluent le parquet de Paris, la gendarmerie et l’entreprise de cybersécurité française Sekoia pour la collaboration qui a permis cette opération.
Le 15 janvier à 14h26
4 min
Sécurité
Sécurité
Dans un communiqué de presse publié ce mardi 14 janvier, le Département de la justice (DOJ) américain avoir mené une opération de plusieurs mois pour supprimer le logiciel malveillant « PlugX » de milliers d'ordinateurs infectés dans le monde.
Dans un document envoyé à la justice américaine en décembre et rendu public [PDF] ce mardi, le FBI affirme qu'un groupe de pirates informatiques étatiques chinois, connu sous les noms de « Mustang Panda » et « Twill Typhoon », a utilisé une version du logiciel malveillant PlugX pour infecter, contrôler et voler des informations sur les ordinateurs des victimes « au moins depuis 2014 ».
Le FBI explique qu'il enquête depuis « au moins 2012 » sur ce malware qui a infecté des milliers d'ordinateurs sous Windows à travers le monde.
Propagation par USB
Les pirates ont utilisé PlugX pour accéder à ces ordinateurs à distance et lancer des commandes. « Par exemple, PlugX permet aux pirates de voler ("exfiltrer") des fichiers et d'autres informations stockés sur les ordinateurs infectés », explique le service américain.
« Cette variante du logiciel malveillant PlugX se propage par le port USB d'un ordinateur, infectant les périphériques USB connectés, puis se propageant potentiellement à d'autres ordinateurs sous Windows sur lesquels le périphérique USB est ensuite branché » détaille le FBI.
« Une fois qu'il a infecté l'ordinateur victime, le logiciel malveillant reste sur la machine (persistance), notamment en créant des clés de registre qui exécutent automatiquement l'application PlugX au démarrage de l'ordinateur. Les propriétaires d'ordinateurs infectés par le logiciel malveillant PlugX ne sont généralement pas au courant de l'infection », ajoute-t-il.
Plus de 4 200 ordinateurs désinfectés aux États-Unis
Le service américain a donc demandé à la Justice la permission de mettre en place une opération de désinstallation de PlugX sur les ordinateurs infectés.
Au total, le département de la Justice américain annonce que « cette opération autorisée par la justice a permis de supprimer le logiciel malveillant PlugX d'environ 4 258 ordinateurs et réseaux basés aux États-Unis ».
Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé.
Une collaboration avec la France et l'entreprise de sécurité Sekoia
Le communiqué de presse du DOJ salue comme rarement la collaboration avec la France sur le sujet : « cette opération n'aurait pas été couronnée de succès sans la précieuse collaboration de la division cybernétique du parquet de Paris, de l'unité cybernétique de la gendarmerie française C3N et de Sekoia.io ».
« L'opération internationale a été menée par les forces de l'ordre françaises et Sekoia.io, une société privée de cybersécurité basée en France, qui avait identifié et signalé la possibilité d'envoyer des commandes pour supprimer la version PlugX des appareils infectés », ajoute-t-il.
Le communiqué explique qu' « en collaboration avec ces partenaires, le FBI a testé les commandes, confirmé leur efficacité et déterminé qu'elles n'avaient pas d'impact sur les fonctions légitimes des ordinateurs infectés et qu'elles ne recueillaient pas d'informations sur le contenu de ces derniers ».
Le Parquet de Paris avait annoncé [PDF] en juillet dernier, qu' « à la suite d’un signalement de la société Sekoia », il avait « ouvert une enquête préliminaire [...] confiée au C3N (centre de lutte contre les criminalités numériques de la gendarmerie nationale) concernant un réseau de machines zombies (botnet) comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France, utilisé notamment à des fins d’espionnage ». Il expliquait que les machines des victimes avaient été infectées par PlugX.
« En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet », ajoutait le parquet qui expliquait avoir lancé l'opération en collaboration avec des partenaires étrangers le 18 juillet et que celle-ci se poursuivrait pendant plusieurs mois.
Ce mardi, le Chief intelligence officer de Sekoia, François Deruty a publié un très sobre message sur Bluesky : « Coopération internationale, fierté de l'équipe TDR de sekoia.io ».
Le FBI, avec la France, réussit à désinstaller le logiciel malveillant PlugX sur 4 200 ordinateurs
-
Propagation par USB
-
Plus de 4 200 ordinateurs désinfectés aux États-Unis
-
Une collaboration avec la France et l'entreprise de sécurité Sekoia
Commentaires (13)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousAujourd'hui à 14h58
Aujourd'hui à 15h05
Aujourd'hui à 15h15
Un ordinateur derrière une box (config par défaut -> ne laisse rien entrer) pourrait donc exécuter du code à distance ?
Ho wait...
Aujourd'hui à 15h29
Aujourd'hui à 15h32
Ils se font probablement passer pour ce centre de commande.
Et comme le logiciel attend des commandes, il a probablement ouvert un port sur la box pour recevoir ces commandes (upnp port forwarding).
Modifié le 15/01/2025 à 18h13
Le principe des botnets est de recevoir des ordres d'un centre de contrôle (Command & Control, C&C… non pas Command & Conquer
Par ailleurs ouvrir un port en entrée voudrait dire pivoter de l'ordinateur infecté à l'équipement filtrant en entrée, généralement la box en France, et on peut imaginer un même système de modem-routeur aux États-unis, même si potentiellement c'est en Amérique du Nord au client du FAI de s'équiper lui-même ou de l'acheter auprès du fournisseur.
Bien plus complexe donc face à la potentielle grande diversité d'équipements (constructeur, matériel et/ou logiciel).
Le plus simple AMHA est l'interrogation régulière en sortie.
Aujourd'hui à 18h25
Mais l'upnp pour faire du port forwarding, c'est commun à la plupart des routeurs et des box et activé par défaut pour beaucoup (afin de faciliter la vie des utilisateurs (et hélas aussi des méchants)) : il n'y a donc rien à adapter.
Modifié le 15/01/2025 à 16h57
L'exploiter est d'ailleurs une fonctionnalité d'outils type ssh: Un reverse tunnel initié d'une machine que l'on veut rendre accessible à qqun situé dehors, sans toucher a la configuration du LAN/FW, permettra à celui qui est dehors d'initier une connexion entrante via ce tunnel pour se connecter à la machine. Le seul requis est d'avoir le serveur ssh (pas seulement le client) des 2 côtés (il peut, c'est même conseillé si pas d'autre usage, être barré niveau config FW machine distante par sécurité car il n'est pas utile qu'il soit accessible dans ce cadre).
Très pratique pour gérer l'aide à des proches par exemple: Suffit de leur laisser un script presse-bouton sur le bureau initiant le tunnel, avec sur sa propre machine un compte dédié et limité (voir sans même un shell), en mode authentification par clef, réservé a cet usage.
Et sans besoin (bonne dose de confiance incluse) d'utiliser des outils faisant passer par un tiers (log-me-in et autres solutions d'accès à distance passe FW).
Ils ont juste à cliquer sur le truc et tu "remonte" le tunnel établi sur le port utilisé avec pour adresse ton localhost, pour te connecter à la machine comme si tu étais chez eux!
Aujourd'hui à 15h50
"Le FBI a prévu d'informer les fournisseurs d'accès internet des victimes et leur a demandé d'informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu'il a nettoyé."
Si je suis le raisonnement, le FBi a recencé des machines infectés.
Puis les a (fait ?) néttoyé.
Et seulement après cherche à les identifiés et demande à des tiers des les prevenirs des actions qu'il (le FBI) à fait.
J'arrive à pas à savoir si c'est positif ou pas.
Aujourd'hui à 16h22
Le premier point est qu'ils ont eu des mandats (9) de la justice pour nettoyer les PC, ils n'agissent donc pas de leur seule initiative mais après autorisation de la justice.
Ils demandent à des tiers (les FAI) de prévenir leurs clients parce qu'ils ne savent pas le faire (ils ne connaissent ni leur adresse mail ni leur adresse postale ni même leur nom). Ils les ont probablement désigné par une adresse IP, un port (?) et un horodatage pour cette adresse IP. Ils n'ont donc récupéré eux-mêmes aucune information dans ces PC infectés.
Enfin, nettoyer les PC avant de prévenir les propriétaires me semble une bonne chose afin que ces derniers n'essaient pas de nettoyer et ne mettent ainsi le bazar dans l'opération.
Aujourd'hui à 16h41
C'est positif au final. :-)
Aujourd'hui à 16h32
J'imagine, à notre magnifique époque réseaux sociaux, tout ces utilisateurs s'alarmant que le FBI leur a écrit et quoi... si toutefois la vérole ne capte pas directement les mails reçus.
Pour planter le truc, c'est sans doute encore mieux qu'annoncer soit-même ce que l'on va faire.
Aujourd'hui à 18h04