中国発のマルウェアが、FBIが数千台のWindowsコンピュータから悪意のあるコードを削除するための裁判所命令を取得した後、無力化されました。
FBIは、感染したUSBドライブへの侵入を通じて、世界中で250万台以上のデバイスに影響を与えたとされる、米国におけるPlugXマルウェアの蔓延を阻止することに成功しました。
米国司法省はFBIと緊密に協力し、2025年1月14日時点で、米国の約4,260台のコンピュータとネットワークからマルウェアを削除するための裁判所の承認を得たと発表しました。FBIは、インターネットサービスプロバイダーを通じて、感染したマシンの所有者に通知します。
これは、米国の規制当局が深刻なサイバーセキュリティリスクを制御できる能力の一例にすぎません。しかし、米国当局は、現在の状況におけるサイバーセキュリティ活動の重要性も指摘しています。米国司法省は、攻撃の背後にいるのは、「Mustang Panda」と呼ばれる、中国政府が支援する民間のハッカー集団であり、進行中のキャンペーンのためにPlugXマルウェアの独自のバージョンを開発したと詳述しています。
PlugXは、悪意のあるアクターがWindowsコンピュータを密かに制御できるようにするバックドアの脆弱性として使用された2008年に初めて登場しました。2020年までに、このマルウェアは、USBドライブと接続されたPCに侵入する機能を追加して更新されました。
これにより、PlugXは、感染した周辺機器を介してコンピュータ間で拡散できる「ワーム化可能な」マルウェアとして説明されるようになりました。
フランスのサイバーセキュリティ会社Sekoiaは後に、Mustang Pandaは基本的にPlugXマルウェアに感染したマシンの数をサポートするのに十分なリソースがなく、最終的にプロジェクトを放棄したことを発見しました。同様に、アンチウイルスプロバイダーSophosは、単一のIPアドレスソースから発生するPlugX感染のいくつかのケースを観察しました。2023年9月、Sekoiaと協力して、サイバーセキュリティプロバイダーは、IPアドレスと感染したマシンへのアクセスを取得するためにわずか7ドルを支払いました。その後の詳細な調査により、PlugXコード内に自己削除コマンドが発見されました。
2024年7月、フランスの法執行機関は、感染したマシンを修復するために自己削除メカニズムの適用を承認しました。それ以来、他の22か国も同様の決定を施行しています。
米国のエンティティが国内のPCからマルウェアを削除する方法については不明ですが、FBIは宣誓供述書で、この自己削除コマンドをテストしたことを証言し、マルウェアのみを削除し、デバイスの他の機能に影響を与えたり、他の無効なコードを転送したりしないことを確認しました。
