Antidémarreur

La police française et Europol proposent une « solution de désinfection » qui supprime automatiquement le malware PlugX des appareils infectés en France.

L'opération est menée par le Centre de lutte contre la criminalité numérique (C3N) de la gendarmerie nationale avec le concours de la société de cybersécurité française Sekoia, qui a piraté en avril dernier un serveur de commande et de contrôle d'une variante largement diffusée de PlugX.

PlugX est un cheval de Troie d'accès à distance déployé depuis longtemps par de nombreux acteurs malveillants chinois. De nouvelles variantes sont modifiées et publiées en fonction des besoins opérationnels d'une campagne malveillante.

L'entreprise de cybersécurité Sekoia avait déjà signalé l'existence d'un botnet pour une variante de PlugX qui se propageait via des clés USB. Ce botnet a été abandonné par son opérateur d'origine, mais il a continué à se propager de manière indépendante, infectant près de 2,5 millions d'appareils.

Publicité

Sekoia a pris le contrôle des serveurs de commande et de contrôle abandonnés, qui recevaient jusqu'à 100 000 pings d'hôtes infectés par jour et comptaient 2 500 000 connexions uniques provenant de 170 pays sur six mois.

L'entreprise de sécurité a réussi à rendre inutilisable le botnet PlugX pour qu'il ne puisse plus être utilisé pour envoyer des commandes aux appareils infectés. Cependant, le malware est resté actif sur les systèmes des utilisateurs, augmentant le risque que des acteurs malveillants puissent prendre le contrôle du botnet et réactiver les infections.

Sekoia a proposé un mécanisme de nettoyage qui utilise un plugin PlugX personnalisé envoyé sur les appareils infectés pour émettre une commande d'auto-suppression qui supprime l'infection.

Les chercheurs ont également proposé une méthode permettant d'analyser les clés USB connectées à la recherche de logiciels malveillants et de les supprimer. Cependant, le nettoyage automatique des clés USB pourrait endommager le support et empêcher l'accès aux fichiers légitimes, ce qui rend l'approche risquée.

Comme cette approche est intrusive et pourrait entraîner des conséquences juridiques, les chercheurs ont partagé leur solution avec les forces de l’ordre.

« Compte tenu des défis juridiques potentiels qui pourraient découler de la conduite d'une campagne de désinfection à grande échelle, qui implique l'envoi d'une commande arbitraire à des postes de travail qui ne nous appartiennent pas, nous avons décidé de reporter la décision de désinfecter ou non les postes de travail dans leurs pays respectifs à la discrétion des équipes nationales d'intervention d'urgence informatique (CERT), des forces de l'ordre (LEA) et des autorités de cybersécurité », a expliqué Sekoia dans son rapport d'avril.

Nettoyage des appareils français

Selon C3N, Europol a reçu une solution de désinfection de Sekoia, qui est partagée avec les pays partenaires pour supprimer les logiciels malveillants des appareils dans leurs pays.

Bien que Sekoia ait déclaré à BleepingComputer qu'ils ne pouvaient pas partager de détails sur la solution, il s'agit probablement d'une solution similaire au module PlugX qu'ils ont décrit dans leur rapport.

A l'approche des Jeux Olympiques de Paris 2024, les autorités françaises, dont tous les acteurs de la cybersécurité, sont en état d'alerte maximale, le risque de PlugX retrouvé dans 3 000 systèmes en France étant jugé inacceptable.

Par conséquent, les charges utiles PlugX sont en cours de suppression provenant de systèmes infectés en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche.

L'opération de désinfection a débuté le 18 juillet 2024 et devrait se poursuivre pendant plusieurs mois, pour éventuellement se terminer fin 2024.

Annonce de suppression de PlugX
Annonce de suppression de PlugX Source : Parquet de Paris | LinkedIn

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) informera individuellement les victimes en France du processus de nettoyage et de son impact sur elles.

Il convient de noter que cette variante particulière de PlugX se propage via des clés USB infectées, et on ne sait pas si la solution de Sekoia inclut la possibilité de supprimer le malware des supports amovibles.

Il est conseillé aux utilisateurs d’être prudents lorsqu’ils branchent leurs clés USB sur des systèmes d’imprimeries et d’autres endroits qui reçoivent quotidiennement de nombreuses connexions physiques et de scanner leurs appareils par la suite avant de les connecter à des systèmes contenant des données sensibles.

BleepingComputer a contacté Europol et les autorités françaises avec des questions sur la solution de désinfection mais n'a pas encore reçu de réponse.

flare 400
5/5 - (418 votes)
Publicité
Article précédentUn nouveau jeu de course d'arcade met en avant la meilleure partie de Mario Kart : Betrayal
Article suivantLes fans de Zone Of The Enders ont un nouveau kit de modèle à attendre avec impatience
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici