Les chercheurs ont mis au point un serveur de commande et de contrôle pour une variante du malware PlugX et ont observé en six mois plus de 2,5 millions de connexions à partir d’adresses IP uniques.
Depuis septembre dernier, le serveur sinkhole a reçu plus de 90 000 demandes chaque jour d’hôtes infectés dans plus de 170 pays.
Depuis septembre 2023, lorsque Sekoia a capturé l’adresse IP unique associée au C2 particulier, il a enregistré plus de 2 495 297 adresses IP uniques de 170 pays interagissant avec son gouffre.
Cette action a permis à l’entreprise de sécurité d’analyser le trafic, de cartographier les infections, d’empêcher l’exploitation malveillante des clients et de concevoir des plans de désinfection efficaces.
Prise de contrôle du serveur PlugX
Des chercheurs de la société de cybersécurité Seqoia ont dépensé 7 $pour acquérir l’adresse IP 45.142.166[.]112 correspondant à un serveur de commande et de contrôle (C2) pour une variante du malware PlugX que l’auteur de la menace n’utilise plus.
L’adresse IP C2 a été documentée dans un rapport de mars 2023 de Sophos sur une nouvelle version de PlugX qui s’était étendue à « des emplacements presque à l’autre bout du monde les uns des autres. »Le malware avait déjà acquis des capacités d’auto-propagation sur les périphériques USB.
Après que Seqoia ait contacté la société d’hébergement et demandé le contrôle de l’adresse IP, les chercheurs ont obtenu un accès shell à un serveur utilisant l’adresse IP.
Un simple serveur Web a été configuré pour imiter le comportement du serveur C2 d’origine, ce qui a permis aux analystes de capturer les requêtes HTTP des hôtes infectés et d’observer les variations du flux.
L’opération du gouffre a révélé qu’entre 90 000 et 100 000 systèmes envoyaient des requêtes quotidiennement, et en six mois, plus de 2,5 millions d’adresses IP uniques se connectaient au serveur du monde entier.
Alors que le ver s’est propagé à 170 pays, seulement 15 d’entre eux représentent plus de 80% du total des infections, le Nigéria, l’Inde, la Chine, l’Iran, l’Indonésie, le Royaume-Uni, l’Irak et les États-Unis étant en tête de liste.
Les chercheurs soulignent que le bouchon de gouffre X2 n’a pas d’identifiants uniques, ce qui conduit à un décompte peu fiable des hôtes infectés:
- de nombreux postes de travail compromis peuvent sortir via la même adresse IP
- en raison de l’adressage IP dynamique, un système infecté peut se connecter avec plusieurs adresses IP
- de nombreuses connexions se font via des services VPN, ce qui peut rendre le pays source sans importance
Sekoia dit que la victimologie pourrait indiquer un intérêt stratégique du point de vue de la Chine, car la plupart des infections sont observées dans les pays participant à la stratégie mondiale de développement des infrastructures de l’initiative chinoise Belt and Road.
Cependant, les chercheurs notent que bien que cette conclusion soit plausible, elle « doit être prise avec un grain de sel, car après quatre ans d’activités, elle a eu le temps de se répandre partout. »
Alors que PlugX était initialement associé à des opérations parrainées par l’État d’origine chinoise, le malware est devenu un outil courant au fil des ans et a été utilisé par divers acteurs de la menace, certains d’entre eux impliqués dans des activités à motivation financière telles que les ransomwares.
Défis de désinfection
Sekoia a formulé deux stratégies pour nettoyer les ordinateurs atteignant leur gouffre et a appelé les équipes nationales de cybersécurité et les forces de l’ordre à se joindre à l’effort de désinfection.
Une méthode consiste à envoyer la commande d’auto-suppression prise en charge par PlugX, qui devrait la supprimer des ordinateurs sans actions supplémentaires.
Cependant, même si le logiciel malveillant est supprimé de l’hôte, il existe toujours un risque de réinfection car le logiciel malveillant se propage sur les périphériques USB et leur nettoyage n’est pas possible de cette façon.
Une méthode plus complexe consiste à développer et à déployer une charge utile personnalisée sur des machines infectées pour supprimer PlugX à la fois du système et des clés USB infectées qui leur sont connectées.
La firme de cybersécurité a proposé de fournir aux CERT nationaux les informations nécessaires pour effectuer une « désinfection souveraine » afin d’éviter la complexité juridique de l’envoi de commandes aux postes de travail d’autres personnes.
Quelle que soit la méthode, Sekoia note que les réseaux à intervalle d’air déjà impactés par PlugX sont hors de portée et il en va de même pour les clés USB infectées qui ne sont pas branchées.
Les chercheurs de Sequia disent que le botnet construit avec la version sinkholed de PlugX peut être considéré comme « mort » car les opérateurs de logiciels malveillants ne contrôlent plus.
Néanmoins, « toute personne ayant des capacités d’interception » ou capable de prendre le contrôle du serveur C2 peut le réactiver à des fins malveillantes en envoyant des commandes arbitraires à un hôte infecté.
Arrière-plan PlugX
PlugX est utilisé depuis au moins 2008 principalement dans des opérations d’espionnage et d’accès à distance de groupes liés au ministère chinois de la Sécurité d’État. Il a souvent été utilisé par de multiples groupes d’attaque pour cibler le gouvernement, la défense, la technologie et les organisations politiques, principalement en Asie et plus tard en expansion en Occident.
Au fil du temps, les constructeurs de PlugX sont apparus dans l’espace public et certains chercheurs pensent que le code source du malware a été divulgué vers 2015. Ceci et le fait que l’outil a reçu plusieurs mises à jour, il est difficile d’attribuer PlugX à un acteur ou un agenda spécifique.
Le logiciel malveillant dispose de fonctionnalités étendues, notamment l’exécution de commandes, le téléchargement et le téléchargement de fichiers, la journalisation des frappes au clavier et l’accès aux informations système.
Une variante récente de PlugX comporte un composant vermifuge, lui permettant de se propager de manière autonome en infectant des lecteurs amovibles tels que des clés USB, et potentiellement d’atteindre des systèmes à entrefer.