联邦调查局黑客反向入侵数千台电脑使PlugX恶意软件自行卸载

美国司法部周二宣布，联邦调查局（FBI）入侵了全美约4200台计算机，作为查找和删除PlugX（一种被认为由中国国家支持的黑客用来窃取受害者信息的恶意软件）行动的一部分。

在一份未完全公开的文档中，FBI称至少从2012年开始，以"MustangPanda"和"TwillTyphoon"为绰号的中国黑客组织使用PlugX感染了美国、亚洲和欧洲的数千台Windows计算机。该恶意软件通过USB端口感染电脑，在后台运行，允许黑客在受害者电脑上"远程访问和执行命令"。

为此，受感染的电脑会与黑客运行的命令控制服务器联系，该服务器的IP地址被硬编码到恶意软件中。从那里，黑客可以远程访问用户的文件，并获取受感染计算机的信息，如IP地址。据联邦调查局称，自2023年9月以来，美国至少有4.5万个IP地址与指挥控制服务器建立了联系。

联邦调查局正是利用这一漏洞从受感染的计算机中删除了PlugX。联邦调查局与法国执法部门（法国执法部门此前已经发起了一次PlugX删除行动）合作，获得了命令控制服务器的访问权限，并请求获得受感染计算机的IP地址。然后，它发送了一条本地命令，让PlugX删除它在受害者计算机上创建的文件，停止PlugX应用程序的运行，并在停止运行后删除恶意软件。

去年，FBI同样通过指示设备下载软件卸载恶意软件，拆除了一个受感染的Quakbot计算机网络。该机构还远程反向入侵了数百台电脑，以保护它们免受2021年Hafnium黑客的攻击。