La police française et Europol proposent une « solution de désinfection » qui supprime automatiquement le malware PlugX des appareils infectés en France.
L’opération est menée par le Centre de Lutte contre la Criminalité Numérique (C3N) de la Gendarmerie Nationale avec l’aide de la société française de cybersécurité Sekoia, qui a sinkholé un serveur de commande et de contrôle pour une variante PlugX largement distribuée en avril dernier.
PlugX est un cheval de Troie d’accès à distance qui a été déployé par plusieurs acteurs de la menace chinoise depuis longtemps. De nouvelles variantes sont modifiées et publiées en fonction des besoins opérationnels d’une campagne malveillante.
La société de cybersécurité Sekoia avait précédemment signalé un botnet pour une variante de PlugX qui se propageait via des clés USB. Ce botnet a été abandonné par son opérateur d’origine, mais il a continué à se propager de manière indépendante, infectant près de 2,5 millions d’appareils.
Sekoia a pris le contrôle des serveurs de commande et de contrôle abandonnés, qui recevaient quotidiennement jusqu’à 100 000 pings d’hôtes infectés et disposaient de 2 500 000 connexions uniques provenant de 170 pays en six mois.
La société de sécurité a bloqué le botnet PlugX afin qu’il ne puisse pas être utilisé pour émettre des commandes aux appareils infectés. Cependant, le malware est resté actif sur les systèmes des gens, augmentant le risque que des acteurs malveillants puissent prendre le contrôle du botnet et relancer les infections.
Sekoia a proposé un mécanisme de nettoyage qui utilise un plug-in PlugX personnalisé poussé vers les périphériques infectés pour émettre une commande d’auto-suppression qui supprime l’infection.
Les chercheurs ont également proposé une méthode pour analyser les clés USB connectées à la recherche du logiciel malveillant et le supprimer. Cependant, le nettoyage automatique des clés USB pourrait endommager le support et empêcher l’accès aux fichiers légitimes, ce qui rendrait l’approche risquée.
Comme cette approche est intrusive et pourrait entraîner des ramifications juridiques, les chercheurs ont partagé leur solution avec les forces de l’ordre.
« Compte tenu des défis juridiques potentiels qui pourraient découler de la conduite d’une vaste campagne de désinfection, qui implique l’envoi d’une commande arbitraire à des postes de travail que nous ne possédons pas, nous avons décidé de reporter la décision de désinfecter ou non les postes de travail dans leurs pays respectifs à la discrétion des Équipes nationales d’intervention en cas d’urgence informatique (CERT), des Forces de l’ordre (LEA) et des autorités de cybersécurité », a expliqué Sekoia dans son rapport d’avril.
Nettoyage des appareils français
Selon C3N, Europol a reçu une solution de désinfection de Sekoia, qui est partagée avec les pays partenaires pour supprimer les logiciels malveillants des appareils dans leurs pays.
Alors que Sekoia a déclaré à Breachtrace qu’ils ne pouvaient pas partager de détails sur la solution, il s’agit probablement d’une solution similaire au module PlugX qu’ils ont décrit dans leur rapport.
À l’approche des Jeux Olympiques de Paris 2024, les autorités françaises, y compris tous les acteurs de la cybersécurité, sont en état d’alerte, de sorte que le risque de PlugX présent dans 3 000 systèmes en France a été jugé inacceptable.
Par conséquent, les charges utiles PlugX sont désormais supprimées des systèmes infectés en France, mais également à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche.
L’opération de désinfection a débuté le 18 juillet 2024 et devrait se poursuivre pendant plusieurs mois, pouvant se terminer à la fin de 2024.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) informera individuellement les victimes en France du processus de dépollution et de son impact sur elles.
Il convient de noter que cette variante particulière de PlugX se propage via des clés USB infectées, et on ne sait pas si la solution de Sekoia inclut la possibilité de supprimer le logiciel malveillant des supports amovibles.
Il est conseillé aux gens d’être prudents lorsqu’ils branchent leurs clés USB dans des systèmes dans des imprimeries et d’autres endroits qui reçoivent quotidiennement de nombreuses connexions physiques et de scanner leurs appareils par la suite avant de les connecter à des systèmes contenant des données sensibles.
Breachtrace a contacté Europol et les autorités françaises pour leur poser des questions sur la solution de désinfection, mais n’a pas encore reçu de réponse.