UnpluggedX
Le Département de la justice américain et le FBI ont annoncé avoir réussi à supprimer le logiciel malveillant (malware) PlugX de milliers d’ordinateurs basés aux États-Unis. Ils accusent un groupe de pirates chinois d’être à l’origine de ce malware. Les autorités américaines saluent le parquet de Paris, la gendarmerie et l’entreprise de cybersécurité française Sekoia pour la collaboration qui a permis cette opération.
Dans un communiqué de presse publié ce mardi 14 janvier, le Département de la justice (DOJ) américain avoir mené une opération de plusieurs mois pour supprimer le logiciel malveillant « PlugX » de milliers d’ordinateurs infectés dans le monde.
Dans un document envoyé à la justice américaine en décembre et rendu public [PDF] ce mardi, le FBI affirme qu’un groupe de pirates informatiques étatiques chinois, connu sous les noms de « Mustang Panda » et « Twill Typhoon », a utilisé une version du logiciel malveillant PlugX pour infecter, contrôler et voler des informations sur les ordinateurs des victimes « au moins depuis 2014 ».
Le FBI explique qu’il enquête depuis « au moins 2012 » sur ce malware qui a infecté des milliers d’ordinateurs sous Windows à travers le monde.
Propagation par USB
Les pirates ont utilisé PlugX pour accéder à ces ordinateurs à distance et lancer des commandes. « Par exemple, PlugX permet aux pirates de voler (« exfiltrer ») des fichiers et d’autres informations stockés sur les ordinateurs infectés », explique le service américain.
« Cette variante du logiciel malveillant PlugX se propage par le port USB d’un ordinateur, infectant les périphériques USB connectés, puis se propageant potentiellement à d’autres ordinateurs sous Windows sur lesquels le périphérique USB est ensuite branché » détaille le FBI.
« Une fois qu’il a infecté l’ordinateur victime, le logiciel malveillant reste sur la machine (persistance), notamment en créant des clés de registre qui exécutent automatiquement l’application PlugX au démarrage de l’ordinateur. Les propriétaires d’ordinateurs infectés par le logiciel malveillant PlugX ne sont généralement pas au courant de l’infection », ajoute-t-il.
Plus de 4 200 ordinateurs désinfectés aux États-Unis
Le service américain a donc demandé à la Justice la permission de mettre en place une opération de désinstallation de PlugX sur les ordinateurs infectés.
Au total, le département de la Justice américain annonce que « cette opération autorisée par la justice a permis de supprimer le logiciel malveillant PlugX d’environ 4 258 ordinateurs et réseaux basés aux États-Unis ».
Le FBI a prévu d’informer les fournisseurs d’accès internet des victimes et leur a demandé d’informer eux-mêmes les clients dont les ordinateurs ont fait partie du lot qu’il a nettoyé.
Une collaboration avec la France et l’entreprise de sécurité Sekoia
Le communiqué de presse du DOJ salue comme rarement la collaboration avec la France sur le sujet : « cette opération n’aurait pas été couronnée de succès sans la précieuse collaboration de la division cybernétique du parquet de Paris, de l’unité cybernétique de la gendarmerie française C3N et de Sekoia.io ».
« L’opération internationale a été menée par les forces de l’ordre françaises et Sekoia.io, une société privée de cybersécurité basée en France, qui avait identifié et signalé la possibilité d’envoyer des commandes pour supprimer la version PlugX des appareils infectés », ajoute-t-il.
Le communiqué explique qu’ « en collaboration avec ces partenaires, le FBI a testé les commandes, confirmé leur efficacité et déterminé qu’elles n’avaient pas d’impact sur les fonctions légitimes des ordinateurs infectés et qu’elles ne recueillaient pas d’informations sur le contenu de ces derniers ».
Le Parquet de Paris avait annoncé [PDF] en juillet dernier, qu’ « à la suite d’un signalement de la société Sekoia », il avait « ouvert une enquête préliminaire […] confiée au C3N (centre de lutte contre les criminalités numériques de la gendarmerie nationale) concernant un réseau de machines zombies (botnet) comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France, utilisé notamment à des fins d’espionnage ». Il expliquait que les machines des victimes avaient été infectées par PlugX.
« En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet », ajoutait le parquet qui expliquait avoir lancé l’opération en collaboration avec des partenaires étrangers le 18 juillet et que celle-ci se poursuivrait pendant plusieurs mois.
Ce mardi, le Chief intelligence officer de Sekoia, François Deruty a publié un très sobre message sur Bluesky : « Coopération internationale, fierté de l’équipe TDR de sekoia.io ».