Polisi Prancis dan Europol meluncurkan “solusi desinfeksi” yang secara otomatis menghapus malware PlugX dari perangkat yang terinfeksi di Prancis.
Operasi ini dilakukan oleh Pusat Pemberantasan Kejahatan Digital (C3N) dari Gendarmerie Nasional dengan bantuan firma keamanan siber Prancis Sekoia, yang berhasil membobol server komando dan kontrol untuk varian PlugX yang didistribusikan secara luas pada April lalu.
PlugX adalah trojan akses jarak jauh yang telah digunakan oleh banyak pelaku ancaman Tiongkok sejak lama. Varian baru dimodifikasi dan dirilis sesuai dengan kebutuhan operasional kampanye jahat.
Perusahaan keamanan siber Sekoia sebelumnya melaporkan pada botnet untuk varian PlugX yang menyebar melalui flash drive USB. Botnet ini ditinggalkan oleh operator aslinya, tetapi terus menyebar secara independen, menginfeksi hampir 2,5 juta perangkat.
Sekoia mengambil alih server perintah dan kontrol yang ditinggalkan, yang menerima hingga 100.000 ping dari host yang terinfeksi setiap hari dan memiliki 2.500.000 koneksi unik dari 170 negara selama enam bulan.
Perusahaan keamanan tersebut membuat botnet PlugX tidak dapat digunakan untuk mengeluarkan perintah ke perangkat yang terinfeksi. Namun, malware tersebut tetap aktif di sistem pengguna, sehingga meningkatkan risiko pelaku jahat dapat mengendalikan botnet dan mengaktifkan kembali infeksi.
Sekoia mengusulkan mekanisme pembersihan yang menggunakan plugin PlugX khusus yang dikirim ke perangkat yang terinfeksi untuk mengeluarkan perintah penghapusan mandiri yang menghilangkan infeksi.
Para peneliti juga mengusulkan sebuah metode untuk memindai flash drive USB yang terhubung guna menemukan malware dan menghapusnya. Akan tetapi, membersihkan drive USB secara otomatis dapat merusak media dan mencegah akses ke file yang sah, sehingga pendekatan tersebut berisiko.
Karena pendekatan ini mengganggu dan dapat menimbulkan konsekuensi hukum, para peneliti membagikan solusi mereka dengan penegak hukum.
“Mengingat potensi tantangan hukum yang dapat timbul akibat pelaksanaan kampanye disinfeksi yang meluas, yang melibatkan pengiriman perintah sewenang-wenang ke stasiun kerja yang bukan milik kami, kami telah memutuskan untuk menunda keputusan tentang apakah akan mendisinfeksi stasiun kerja di negara masing-masing kepada kebijaksanaan Tim Tanggap Darurat Komputer (CERT) nasional, Badan Penegak Hukum (LEA), dan otoritas keamanan siber,” jelas Sekoia dalam laporan mereka pada bulan April.
Membersihkan perangkat Prancis
Menurut C3N, Europol menerima solusi disinfeksi dari Sekoia, yang dibagikan ke negara mitra guna menghilangkan malware dari perangkat di negara mereka.
Sementara Sekoia mengatakan kepada BleepingComputer bahwa mereka tidak dapat berbagi detail tentang solusinya, kemungkinan solusinya serupa dengan modul PlugX yang mereka jelaskan dalam laporan mereka.
Dengan semakin dekatnya Olimpiade Paris 2024, otoritas Prancis, termasuk semua pemangku kepentingan keamanan siber, berada dalam kondisi siaga tinggi, sehingga risiko PlugX yang ditemukan pada 3.000 sistem di Prancis dianggap tidak dapat diterima.
Oleh karena itu, muatan PlugX adalah sekarang sedang dihapus dari sistem yang terinfeksi di Prancis, tetapi juga di Malta, Portugal, Kroasia, Slowakia, dan Austria.
Operasi disinfeksi dimulai pada 18 Juli 2024, dan diperkirakan akan berlanjut selama beberapa bulan, kemungkinan berakhir pada akhir tahun 2024.
Sumber: Kantor Kejaksaan Paris | LinkedIn
Badan Nasional untuk Keamanan Sistem Informasi (ANSSI) akan memberi tahu korban di Prancis secara individual tentang proses pembersihan dan bagaimana proses tersebut berdampak pada mereka.
Perlu dicatat bahwa varian PlugX khusus ini menyebar melalui drive USB yang terinfeksi, dan tidak diketahui apakah solusi Sekoia mencakup kemampuan untuk menghapus malware dari media yang dapat dilepas.
Masyarakat diimbau untuk berhati-hati saat mencolokkan stik USB ke sistem di percetakan dan tempat lain yang menerima banyak sambungan fisik setiap hari, serta memindai perangkat mereka setelahnya sebelum menyambungkannya ke sistem yang menyimpan data sensitif.
BleepingComputer menghubungi Europol dan otoritas Prancis untuk mengajukan pertanyaan tentang larutan disinfeksi tetapi belum mendapat jawaban.
