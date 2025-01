Das FBI und das US-Justizministerium haben erfolgreich die PlugX-Schadsoftware von über 4200 Computern in den USA entfernt. Die Aktion war Teil eines gerichtlich genehmigten Gegenangriffs gegen die mutmaßlich von China unterstützte Hackergruppe «Mustang Panda».

In einer koordinierten Aktion haben das FBI und das US-Justizministerium die Schadsoftware PlugX von mehr als 4200 infizierten Computern in den USA erfolgreich gelöscht – via Remotezugriff. Das haben die Behörden in einer offiziellen Pressemitteilung bekannt gegeben. Bei der Aktion handelte es sich um einen gerichtlich genehmigten Gegenangriff.

PlugX, ein Remote-Access-Trojaner (RAT), wurde erstmals 2008 entdeckt und hat seither zahlreiche Regierungsinstitutionen und Unternehmen weltweit ins Visier genommen. Die Schadsoftware ermöglicht es Angreifern, ohne Berechtigung auf betroffene Systeme zuzugreifen, Daten zu stehlen und die Kontrolle über diese Systeme zu übernehmen.

Fernzugriff auf Dateien durch Command-and-Control-Server

Laut dem FBI haben seit September 2023 mindestens 45 000 IP-Adressen in den USA einen von den Hackern betriebenen Command-and-Control-Server kontaktiert. Von diesem Server aus können die Hacker auf die Dateien zugreifen und Informationen über die infizierten Computer erhalten.

Als Täter identifizierte das US-Justizministerium eine, mutmaßlich von der Volksrepublik China gesponsertem Hackergruppe, die im privaten Sektor als «Mustang Panda» und «Twill Typhoon» bekannt ist. Besagte «Mustang Panda»-Gruppe erlangte im vergangenen März Zugriff auf die Computer von Frachtunternehmen in Norwegen, Griechenland und den Niederlanden, wie das Cybersicherheitsunternehmen ESET feststellte.

80 Prozent der Infektionen verteilen sich auf 15 Länder

Die Aktion zum Löschen der Schadsoftware begann im August 2024. Die US-amerikanischen Behörden haben sie in Zusammenarbeit mit den französischen Strafverfolgungsbehörden sowie mit Sekoia.io, einem in Frankreich ansässigen privaten Cybersicherheitsunternehmen, durchgeführt. Sekoia.io hat die PlugX-Malware in mehr als 170 Ländern entdeckt. In einer eintägigen Analyse der PlugX-Aktivität stellte Sekoia fest, dass mehr als 80 Prozent der Infektionen auf etwa 15 Länder verteilt sind, wobei Nigeria, Indien, Iran, Indonesien und die Vereinigten Staaten an der Spitze stehen.

Nigeria steht an der Spitze der am häufigsten von der PlugX-Malware infizierten Länder.

Quelle: Sekoia.io

Sekoia entdeckte schließlich auch die Möglichkeit, die notwendigen Befehle zu senden, die die Malware dazu zwangen, sich selbst zu zerstören und ein System zu desinfizieren.