FBI 证实它从 4,258 台美国计算机中删除了文件

2025 年 1 月 17 日更新：本文最初发表于 1 月 15 日，现在包括威胁运营专家对 PlugX 恶意软件的进一步技术分析和时间表，以及有关 FBI 使用远程方法删除相关文件的影响的信息。

网络攻击的威胁从未远离，无论是来自无法从威胁中恢复的 Amazon 勒索软件行为者，还是 Windows 零日漏洞，甚至是 iPhone USB-C 端口的黑客攻击。幸运的是，联邦调查局（Federal Bureau of Investigation）在警告此类攻击和黑客威胁时也从未远离。但是，由于 FBI 和司法部已经证实，数千台美国计算机和网络被访问以远程删除恶意软件文件，因此肯定会引起一点关注。以下是您需要了解的内容。

法院授权的 FBI 行动从 4,258 台美国计算机远程删除 PlugX 恶意软件

美国司法部和 FBI 已确认，法院授权的行动允许从 4,258 台美国计算机中远程删除恶意软件文件。1 月 14 日的声明称，该行动针对据称是中国支持的威胁行为者使用的 PlugX 恶意软件变体，旨在摧毁该组织使用的 PlugX 版本，该组织被称为野马熊猫或斜纹台风，能够控制受感染的计算机窃取信息。

美国司法部表示，根据法庭文件，中华人民共和国政府“付钱给野马熊猫集团开发这个特定版本的 PlugX”，该版本自 2014 年以来一直在使用，并在针对美国受害者的活动中渗透到数千个计算机系统中。

“FBI 采取行动保护美国计算机免受中国国家支持的黑客的进一步入侵，”FBI 网络部门助理主任 Bryan Vorndran 说，并补充说该公告“重申了 FBI 致力于通过利用其全方位的法律权力和技术专长来对抗民族国家网络威胁来保护美国人民。

FBI 在技术操作中确定了数千台美国计算机和网络，美国司法部估计有 4,258 台，以远程检测和删除恶意软件威胁。2024 年 8 月，宾夕法尼亚州东区联邦地区法院获得了九份搜查令中的第一份，授权从美国计算机中删除 PlugX，最后一份于 1 月 3 日到期。声明说：“联邦调查局测试了这些命令，确认了它们的有效性，并确定它们不会以其他方式影响受感染计算机的合法功能或从中收集内容信息。

宾夕法尼亚州东区联邦检察官杰奎琳·罗梅罗（Jacqueline Romero）表示：“这种广泛的黑客攻击和对数千台基于 Windows 的计算机（包括美国的许多家用计算机）的长期感染表明了中国国家支持的黑客的鲁莽和侵略性。“司法部授权删除 PlugX 恶意软件的行动证明了其致力于以'全社会'方法保护美国网络安全。”

分析 PlugX —被 FBI 删除的恶意软件

Huntress 安全运营中心高级总监 Max Rogers 解释说，PlugX，也被一些威胁情报分析师称为 Destroy-RAT 或 SOGU，是一个历史悠久的恶意软件家族，其历史可以追溯到 2009 年。Rogers 说，这“证明了 PlugX 的适应性和复杂性”，“它仍然是威胁行为者的首选工具，并且可能会使用二十年”。导致这种持久性和弹性的关键因素之一是恶意软件基于插件的设计。Rogers 警告说，模块化方法“使其能够随着时间的推移进行定制，并根据每个操作的特定需求进行定制，使其对目标组织非常有效。为 PlugX 活动背后的威胁行为者提供的“显着优势”还包括它能够通过多种协议进行通信。虽然大多数恶意软件都依赖于超文本传输协议，但 PlugX 可以利用传输控制协议、用户数据报协议、域名系统甚至 Internet 控制消息协议与其命令和控制服务器进行通信。Rogers 说：“这种多功能性使得在网络级别检测和缓解更具挑战性，这表明网络威胁正在不断演变。

安全和威胁运营专家就 FBI PlugX 删除发表意见

“FBI 与法国机构协调努力破坏 PlugX，这表明国际合作在打击网络威胁方面的力量，”Huntress 威胁运营高级总监 Chris Henderson 说，“通过控制恶意软件的命令和控制服务器并利用其原生的自我删除功能，他们成功地从数千台受感染的机器中消除了重大威胁。Henderson 还指出，在实际文件删除之前使用的仔细规划，特别是“包括评估补救潜在影响的宣誓书”，突出了确保此类操作不会对目标系统造成意外伤害的重要性。