A l’automne dernier, ils avaient pris le contrôle du botnet pour la modique somme de 7 dollars, après avoir contacté l’hébergeur du serveur de commande. Les analystes de la société de cybersécurité Sekoia viennent de lancer, en lien avec les cybergendarmes du C3N, la phase deux des opérations contre le malware PlugX.
Comme l’explique le parquet de Paris dans un communiqué, une opération de désinfection des machines victimes de ce logiciel malveillant a été lancée le 18 juillet. La solution technique mise au point doit permettre de bouter le malware hors des machines infectées à distance.
Ce dispositif avait été au préalable présenté aux partenaires étrangers de l’Hexagone via l’agence de police Europol. Ce partage des informations obtenues par Sekoia devait également permettre à chaque pays de prendre connaissance du nombre de machines infectées.
🚨 démantèlement en cours du botnet PlugX (utilisé pour de l’espionnage) par la section de lutte contre la cybercriminalité (j3) du @parquetdeParis, @ComCyberMI
et la société @sekoia_io. #cybercrim @ANSSI_FR @cybervictimes @Europol. Communiqué de presse ⤵️ https://t.co/8weHYXBrJP— Parquet de Paris (@parquetdeParis) July 25, 2024
« Vigilance »
“À la veille de l’ouverture des Jeux olympiques, cette opération démontre la vigilance des différents acteurs, en France et à l’étranger, mobilisés pour lutter contre toutes les formes de cybercriminalité, y compris les plus sophistiquées”, précisait jeudi Laure Beccuau, la procureure de Paris.
L’opération devrait se poursuivre pendant plusieurs mois, le nombre de terminaux infectés se comptant en plusieurs millions. Quelques heures après le début des opérations, la justice comptait toutefois déjà une centaine de victimes, en France et ailleurs en Europe, ayant pu bénéficier de cette opération de nettoyage. Les victimes françaises seront informées par l’Anssi de leur infection.
Programme ancien
La sécurité informatique va pouvoir ainsi entraver les activités de PlugX, un programme ancien repéré à partir du début des années 2010. Au fil du temps, ce malware avait connu de nombreuses évolutions et améliorations. La plus notable était sa nouvelle capacité à se propager automatiquement par des clés USB, une fonctionnalité apparue en 2020.
Toutefois, on devrait encore entendre parler de PlugX. La méthode de désinfection mise au point ne permet pas de nettoyer les clés USB vérolées, sauf si elles sont branchées sur le terminal.
Pour les analystes de Sekoia, il est plausible que le ver ait été développé pour “collecter du renseignement dans de nombreux pays sur les sujets stratégiques et sécuritaires liés à l’initiative Nouvelles routes de la soie, principalement dans les domaines maritimes et économiques”. Soit l’un des programmes phares à l’international de la Chine.