- Das FBI eliminierte die chinesische Schadsoftware PlugX, was deren Einfluss in den USA beendete. Mustang Panda, eine von China staatlich geförderte Hackergruppe, entwickelte eine spezielle Version von PlugX. Seit 2024 setzen 22 Länder den Selbstlöschmechanismus ein, um infizierte Maschinen zu bereinigen. Internationale Zusammenarbeit und Cybersicherheitsforschung sind entscheidend im Kampf gegen solche Malware-Bedrohungen.
Eine aus China stammende Schadsoftware wurde nach einer gerichtlichen Anordnung des FBI eliminiert, welche die Löschung des schädlichen Codes von Tausenden Windows-PCs ermöglichte. Diese Aktion beendete den Einfluss der PlugX-Malware in den USA, die weltweit mehr als 2,5 Millionen Geräte durch infizierte USB-Laufwerke infiltriert hatte. Das FBI hat die Erlaubnis erhalten, die Malware von rund 4.260 Computern und Netzwerken in den USA zu entfernen. Die betroffenen Maschinenbesitzer werden über ihre Internetdienstanbieter informiert. Dies ist ein Beispiel dafür, wie staatliche Behörden ernsthafte Bedrohungen unter Kontrolle bringen. Das Justizministerium erklärte, die Angreifer seien eine private Gruppe chinesischer, staatlich geförderter Hacker namens “Mustang Panda”, welche eine spezielle Version der PlugX-Malware entwickelt hatten.
Hintergrund der Malware
PlugX wurde erstmals 2008 als Backdoor-Schwachstelle entdeckt, die Angreifern ermöglicht, Windows-Systeme heimlich zu steuern. Im Jahr 2020 wurde die Malware so weiterentwickelt, dass sie USB-Laufwerke sowie angeschlossene PCs infiltrieren konnte, und als „wurmfähig“ beschrieben, da sie sich über infizierte Peripheriegeräte zwischen Computern verbreiten konnte. Französische Cybersicherheitsfirma Sekoia beobachtete, dass Mustang Panda letztendlich die Ressourcen fehlten, um die Anzahl der infizierten Geräte zu verwalten und das Projekt schließlich aufgab.
Zusammen mit Sekoia konnte das Unternehmen Sophos im September 2023 durch Zahlung von lediglich 7 US-Dollar auf die IP-Adresse und die infizierten Geräte zugreifen. Die weitere Forschung deckte einen Selbstlösch-Befehl innerhalb des PlugX-Codes auf. Im Juli 2024 gestatteten französische Strafverfolgungsbehörden die Nutzung des Selbstlöschmechanismus, um die infizierten Maschinen zu bereinigen. Seitdem sind 22 weitere Länder diesem Beispiel gefolgt.
Zukünftige Maßnahmen
Es ist zwar unklar, wie die US-Behörden planen, die Malware von lokalen Rechnern zu entfernen, doch das FBI bestätigte in einer eidesstattlichen Erklärung, dass es den Selbstlösch-Befehl getestet habe. Dieser Befehl löscht nur die Malware und beeinflusst keine anderen Funktionen der Geräte oder überträgt andere unerwünschte Codes. Die anhaltende Bedrohung durch solche Malware betont die Wichtigkeit laufender Cybersicherheitsforschung und der internationalen Zusammenarbeit, um digitale Infrastrukturen zu sichern.
