联邦调查局黑客反向入侵数千台电脑使PlugX恶意软件自行卸载

在一份未完全公开的文档中，FBI 称至少从 2012 年开始，以"Mustang Panda"和"Twill Typhoon"为绰号的中国黑客组织使用 PlugX 感染了美国、亚洲和欧洲的数千台 Windows 计算机。 该恶意软件通过 USB 端口感染电脑，在后台运行，允许黑客在受害者电脑上"远程访问和执行命令"。

为此，受感染的电脑会与黑客运行的命令控制服务器联系，该服务器的 IP 地址被硬编码到恶意软件中。 从那里，黑客可以远程访问用户的文件，并获取受感染计算机的信息，如 IP 地址。 据联邦调查局称，自 2023 年 9 月以来，美国至少有 4.5 万个 IP 地址与指挥控制服务器建立了联系。

联邦调查局正是利用这一漏洞从受感染的计算机中删除了 PlugX。 联邦调查局与法国执法部门（法国执法部门此前已经发起了一次 PlugX 删除行动）合作，获得了命令控制服务器的访问权限，并请求获得受感染计算机的 IP 地址。 然后，它发送了一条本地命令，让 PlugX 删除它在受害者计算机上创建的文件，停止 PlugX 应用程序的运行，并在停止运行后删除恶意软件。

去年，FBI 同样通过指示设备下载软件卸载恶意软件，拆除了一个受感染的 Quakbot 计算机网络。 该机构还远程反向入侵了数百台电脑，以保护它们免受 2021 年 Hafnium 黑客的攻击。