El FBI eliminó virus de más de 4.000 PC 'hackeándolos': usó la misma táctica que el 'malware' que querían erradicar
Las autoridades estadounidenses pudieron usar los mismos métodos que un software malicioso usaba para atacar a sus víctimas.
Más información: Qué es LockBit, el temible 'ransomware' de la banda rusa de hackers cuyo cabecilla ha sido detenido en España
Si algo han demostrado los casos del hackeo al CSIC o los numerosos virus informáticos creados en conjunto con ChatGPT, es que la ciberseguridad es un tema delicado en España y en el resto del mundo. Pululan a diario todo tipo de estafas que intentan hacerse con los datos de los usuarios, y por ende los investigadores tienen que ser cada vez más imaginativos a la hora de desarrollar sus soluciones. Se acaba de descubrir que el FBI hackeaba ordenadores de Estados Unidos para eliminar malware de una forma muy llamativa.
Tal y como ha informado el Departamento de Justicia en un comunicado junto al Federal Bureau of Investigation, ambas entidades llevaron a cabo una operación conjunta para eliminar un peligroso malware ubicado en miles de ordenadores a nivel mundial. La clave de esta operación es que el FBI, junto al propio Departamento, hackearon estos equipos para que estos desinstalaran de forma automáticamente el virus en cuestión.
Y es que en palabras del FBI, este virus lleva extendiéndose desde al menos 2012 para atacar ordenadores Windows a través de grupos de hackers chinos, enfocando sus esfuerzos en Asia, Estados Unidos y Europa. PlugX se 'cuela' en los ordenadores a través de sus puertos USB y permite a los atacantes acceder de forma completa a los equipos, así como ejecutar comandos de forma remota, usando un servidor de mando y control aparte.
Hackear ordenadores para 'limpiarlos'
Cabe aclarar que si bien la operación policial fue gestionada por las entidades estadounidenses, contó con el apoyo de las fuerzas de seguridad francesas y Sekoia.io, una startup gala de ciberseguridad que ya había averiguado el modus operandi de PlugX y su metodología para eliminar este malware. Es implícito entender cómo funciona PlugX para comprender los métodos perpetrados por el FBI.
Una vez PlugX ataca al equipo en cuestión, el malware conecta el dispositivo con un servidor de mando y control en poder de los hackers. Para evitar que sean descubiertos, el software malicioso codifica la dirección IP, haciéndolos invisibles. Con el control sobre la máquina, los ciberdelincuentes pueden acceder a los archivos de los usuarios y conseguir datos como sus direcciones IP. Desde septiembre del 2023, se detectaron al menos 45.000 direcciones estadounidenses conectadas a estos servidores.
Uno de los objetivos de esta operación era precisamente 'reparar' estos ordenadores infectados con PlugX. El agente especial al cargo de la oficina de campo del FBI en Filadelfia, Wayne Jacobs, especificó que el objetivo era "identificar miles de ordenadores estadounidenses infectados y eliminar el malware de la República Popular de China que había en ellas". Y es que el FBI básicamente utilizó el mismo método de infección de PlugX para eliminar el software de los equipos.
El FBI pudo acceder al servidor de comando y control, obteniendo por el camino las direcciones IP de los equipos comprometidos. A través de dicho servidor, envió un comando nativo para obligar a PlugX a eliminar todos los archivos que el mismo malware había creado en estos ordenadores, y que detuviera toda la ejecución de la aplicación. No solo eso; también obligó a PlugX a autoeliminarse una vez su actividad se hubiera detenido por completo.
"El FBI probó los comandos, confirmó su eficacia y determinó que no afectaban de otro modo a las funciones legítimas de los ordenadores infectados, ni recopilaban información de contenido de ellas", relata el comunicado. En agosto del 2024, el Departamento de Justicia y el FBI consiguieron comenzar a tramitar las órdenes judiciales que autorizaban la eliminación de PlugX al menos en los equipos residentes en Estados Unidos. La última de estas nueve órdenes se dio el 3 de enero de este año.
De esta manera, el FBI pudo eliminar el software malicioso de al menos 4.258 ordenadores y redes estadounidenses básicamente utilizando esta misma metodología. En concreto, la versión de PlugX que eliminaron provenía de un grupo chino llamado Mustang Panda que, además de tener lazos con otros grupos similares rusos y chinos (Volt Typhoon, APT28, o Flax Typhoon), estaba directamente relacionado con el gobierno de la República Popular China.