FBI e DOJ excluem malware chinês de milhares de computadores dos EUA em operação autorizada pelo tribunal
De acordo com documentos judiciais, um grupo de hackers ligado ao PCC usou o PlugX para se infiltrar e controlar os computadores visados, roubando informações dos sistemas infectados
14.01.2025 por Chase Smith e Eva Fu
Tradução: César Tonheiro
O FBI e o Departamento de Justiça removeram malware (vírus) vinculado à China de mais de 4.200 computadores dos EUA em uma operação autorizada por um tribunal contra um grupo de hackers patrocinado por Pequim.
A operação, conduzida com a polícia francesa e a empresa francesa de segurança cibernética Sekoia.io, teve como alvo uma variante do malware PlugX implantada por hackers apoiados pelo Partido Comunista Chinês.
De acordo com documentos judiciais do Distrito Leste da Pensilvânia, o grupo de hackers conhecido como "Mustang Panda" ou "Twill Typhoon" usou o PlugX para se infiltrar e controlar os computadores visados, roubando informações dos sistemas infectados.
As autoridades declararam em documentos judiciais que o regime chinês pagou a esse grupo para desenvolver e implantar o malware como parte de campanhas mais amplas de invasão de computadores.
O FBI disse que notou as atividades do malware desde pelo menos 2012.
Um investigador do FBI disse que o malware se espalhou pela porta USB de um computador, infectando dispositivos USB conectados e potencialmente se espalhando para outros computadores baseados em Windows que mais tarde se conectaram ao dispositivo.
O malware permanecerá na máquina infectada e, por meio da chave de registro que ele gera, o aplicativo PlugX é executado automaticamente na inicialização do computador, de acordo com um processo judicial.
Depois que o computador de destino se conecta à Internet, o malware pode emitir comandos remotamente para obter detalhes sobre o computador da vítima, como seu endereço IP exclusivo, permitindo determinar a localização física do computador, bem como carregar, baixar, mover e excluir arquivos.
O malware parece ter interagido com mais de 45.000 endereços IP dos EUA desde setembro de 2023, indica o documento.
A operação, que ocorreu de agosto de 2024 a janeiro, resultou na remoção do malware PlugX de aproximadamente 4.258 computadores e redes baseados nos EUA, disseram as agências. O FBI obteve uma série de mandados autorizando o acesso remoto e a exclusão de malware de dispositivos infectados.
De acordo com as agências, o grupo Mustang Panda está ativo desde pelo menos 2014, visando não apenas as vítimas dos EUA, mas também governos europeus e asiáticos, empresas e grupos dissidentes chineses. Muitos proprietários de computadores infectados não sabiam da presença do malware em seus sistemas.
A operação de hackers teve como alvo várias entidades, incluindo empresas de navegação europeias em 2024, vários governos europeus entre 2021 e 2023 e vários governos do Indo-Pacífico, como Taiwan, Hong Kong, Japão, Coreia do Sul, Mongólia, Índia, Birmânia (Mianmar), Indonésia, Filipinas, Tailândia, Vietnã e Paquistão.
O investigador identificou pelo menos cinco distritos federais afetados pelo malware, incluindo o Distrito Leste da Pensilvânia.
A última operação para as autoridades removerem o malware ocorreu em 3 de janeiro.
A procuradora dos EUA Jacqueline Romero, do Distrito Leste da Pensilvânia, disse que o hackeamento foi "abrangente" e "de longo prazo", impactando milhares de computadores, incluindo os computadores domésticos dos americanos.
Ela disse que tais atos descarados demonstram "a imprudência e agressividade dos hackers patrocinados pelo Estado da RPC", de acordo com um comunicado de 14 de janeiro, referindo-se ao nome oficial da China comunista, República Popular da China.
Ela disse que os esforços para remover o malware comprovam o compromisso do Departamento de Justiça com "uma abordagem de 'toda a sociedade' para proteger a segurança cibernética dos EUA".
Esta operação segue esforços recentes semelhantes das autoridades dos EUA para interromper ameaças cibernéticas de grupos de hackers chineses e russos.
No início de janeiro, os Estados Unidos sancionaram uma empresa chinesa de segurança cibernética com sede em Pequim, a Integrity Technology Group, por seu papel na campanha de hackers de outro grupo cibernético chinês, o Flax Typhoon.
O Salt Typhoon, um grupo de hackers chinês separado, se infiltrou em dezenas de países e teve como alvo grandes empresas de telecomunicações, como AT&T e Verizon.
No mês passado, hackers chineses invadiram o Departamento do Tesouro e roubaram documentos de suas estações de trabalho.
O FBI está notificando os proprietários de computadores afetados nos EUA por meio de seus provedores de serviços de Internet, de acordo com o comunicado à imprensa. A agência incentiva os indivíduos que acreditam que seus computadores podem ter sido comprometidos a entrar em contato com o Centro de Reclamações de Crimes na Internet do FBI ou com o escritório local do FBI.
As autoridades também lembram os americanos de manter o software antivírus atualizado e aplicar atualizações de segurança para evitar a reinfecção.
O FBI "continua monitorando a atividade de invasão de computadores do Mustang Panda", disse o comunicado.
Chase Smith é um jornalista premiado. Ele cobre notícias nacionais para o Epoch Times e mora no Tennessee. Para dicas de notícias, envie um e-mail para Chase em chase.smith@epochtimes.us ou conecte-se com ele no X.