Le autorità francesi, in collaborazione con Europol, hanno lanciato un’operazione di disinfestazione per rimuovere il malware PlugX dai dispositivi infetti in diversi paesi europei. Questo malware, utilizzato da attori malevoli legati alla Cina, è stato un problema persistente per molti utenti. Ecco una panoramica dettagliata di questa operazione e delle sue implicazioni.
PlugX: malware pervasivo
PlugX, noto anche come Korplug, è un trojan di accesso remoto (RAT) ampiamente utilizzato da attori di minacce cinesi dal 2008. Il malware è in grado di eseguire comandi arbitrari, caricare e scaricare file, enumerare file e raccogliere dati sensibili. È noto per la sua capacità di diffondersi attraverso tecniche di caricamento laterale di DLL e può propagarsi via chiavette USB infette, bypassando le reti isolate (air-gapped).
Secondo la società di cybersecurity francese Sekoia, una variante di PlugX si è diffusa attraverso chiavette USB, infettando quasi 2,5 milioni di dispositivi. Sekoia ha preso il controllo dei server di comando e controllo (C2) abbandonati, impedendo l’emissione di comandi ai dispositivi infetti, ma il malware è rimasto attivo sui sistemi delle vittime, rappresentando un rischio significativo.
Operazione di disinfestazione di PlugX
L’operazione di disinfezione è stata avviata il 18 luglio 2024 dal Centro per la Lotta contro il Crimine Digitale (C3N) della Gendarmeria Nazionale, con l’assistenza di Sekoia. Questa operazione prevede l’uso di un plugin personalizzato di PlugX che invia un comando di auto-cancellazione per rimuovere l’infezione dai dispositivi infetti.
Le autorità francesi, con il supporto di Europol, hanno iniziato a distribuire questa soluzione di disinfezione in Francia, Malta, Portogallo, Croazia, Slovacchia e Austria. La campagna di pulizia dovrebbe durare diversi mesi, concludendosi probabilmente entro la fine del 2024.
Il Parquet di Parigi ha dichiarato che l’operazione ha già beneficiato centinaia di vittime e che l’Agenzia Nazionale per la Sicurezza dei Sistemi Informativi (ANSSI) notificherà individualmente le vittime in Francia riguardo al processo di pulizia e al suo impatto.
Implicazioni legali e raccomandazioni
L’operazione di disinfezione è intrusiva e potrebbe avere implicazioni legali, poiché comporta l’invio di un comando arbitrario ai sistemi non posseduti dalle autorità. Per questo motivo, Sekoia ha condiviso la soluzione con le agenzie di risposta alle emergenze informatiche nazionali (CERT), le forze dell’ordine e le autorità di cybersecurity, lasciando a loro la decisione di implementare la disinfezione nei rispettivi paesi.
Le persone sono invitate a essere caute quando collegano le loro chiavette USB a sistemi condivisi come quelli presenti nei negozi di stampa e a scansionare i loro dispositivi prima di connetterli a sistemi contenenti dati sensibili.
