Phần mềm độc hại ảnh hưởng đến 2,5 triệu máy tính cá nhân bị FBI xóa bỏ?

Một phần mềm độc hại có nguồn gốc từ Trung Quốc hiện đã bị ngăn chặn sau khi FBI có được lệnh của tòa án để xóa mã độc hại khỏi hàng nghìn máy tính chạy Windows.

Cơ quan này đã thành công trong việc chấm dứt sự thống trị của chủng phần mềm độc hại PlugX tại Hoa Kỳ, được cho là đã gây ảnh hưởng đến hơn 2,5 triệu thiết bị trên toàn cầu thông qua con đường xâm nhập vào ổ USB bị nhiễm.

Trước đó, Bộ Tư pháp Hoa Kỳ đã làm việc chặt chẽ với FBI và xác nhận rằng họ đã được tòa án chấp thuận để xóa phần mềm độc hại khỏi gần 4.260 máy tính và mạng tại Hoa Kỳ tính đến này 14/1/2025. Với nghị quyết được công bố, FBI sẽ thông báo cho chủ sở hữu các máy bị nhiễm thông qua nhà cung cấp dịch vụ internet của họ.

Đây chỉ là một ví dụ về khả năng kiểm soát được rủi ro an ninh mạng nghiêm trọng của các cơ quan quản lý tại Hoa Kỳ. Tuy nhiên, giới chức nước này cũng lưu ý tầm quan trọng của hoạt động bảo mật mạng trong bối cảnh hiện tại. Bộ Tư pháp Hoa Kỳ nêu chi tiết rằng những kẻ đứng sau vụ tấn công là một nhóm tin tặc tư nhân do nhà nước Trung Quốc tài trợ có tên là "Mustang Panda" đã phát triển một phiên bản độc đáo của phần mềm độc hại PlugX cho chiến dịch tấn công đang diễn ra.

PlugX lần đầu tiên xuất hiện vào năm 2008 khi được sử dụng như một lỗ hổng backdoor cho phép những kẻ xấu bí mật kiểm soát các máy tính Windows. Đến năm 2020, mã độc này đã được cập nhật thêm khả năng xâm nhập vào ổ đĩa USB cũng như các PC được kết nối.

Điều này khiến PlugX được mô tả là phần mềm độc hại "wormable" có thể truyền giữa các máy tính thông qua các thiết bị ngoại vi bị nhiễm.

Công ty an ninh mạng Pháp Sekoia sau đó nhận thấy rằng Mustang Panda về cơ bản không có đủ nguồn lực để hỗ trợ số lượng máy đã bị nhiễm phần mềm độc hại PlugX, và cuối cùng đã từ bỏ dự án. Tương tự, nhà cung cấp phần mềm diệt virus có tên Sophos đã quan sát thấy một vài trường hợp lây nhiễm PlugX bắt nguồn từ một nguồn địa chỉ IP duy nhất. Vào tháng 9 năm 2023, khi hợp tác với Sekoia, nhà cung cấp an ninh mạng này chỉ trả 7 USD để có quyền truy cập vào địa chỉ IP và các máy bị nhiễm. Quá trình nghiên cứu sâu hơn sau đó đã phát hiện ra một lệnh tự xóa trong mã PlugX.

Vào tháng 7 năm 2024, cơ quan thực thi pháp luật tại Pháp đã cho phép áp dụng cơ chế tự xóa để khắc phục các máy bị nhiễm. Kể từ đó, 22 quốc gia khác cũng đã thi hành quyết định tương tự.

Mặc dù không rõ các thực thể tại Hoa Kỳ có kế hoạch xóa phần mềm độc hại khỏi PC trong nước như thế nào, FBI đã làm chứng trong một bản tuyên thệ rằng họ đã thử nghiệm lệnh tự xóa này, xác nhận rằng nó chỉ xóa phần mềm độc hại và không ảnh hưởng đến bất kỳ chức năng nào khác của thiết bị hoặc chuyển bất kỳ mã không hợp lệ nào khác.