Yaratıcıları yıllar önce bu zararlı yazılımdan vazgeçmiş olsa da milyonlarca cihaz hala bu tehlikeli zararlı yazılıma bağlanıyor

Uzmanlar, yaratıcılarının aylar önce terk etmesine rağmen milyonlarca cihazın hala PlugX kötü amaçlı yazılımına bağlı olduğu uyarısında bulundu.

Siber güvenlik analistleri Sekoia, kötü amaçlı yazılımın komuta ve kontrol (C2) sunucusuyla ilişkili IP adresini elde etmeyi başardı ve altı aylık bir süre boyunca bağlantı isteklerini gözlemledi.

Analiz süresince, virüs bulaşmış uç noktalar her gün 90.000 bağlantı isteği girişiminde bulunmuş ve toplamda 2,5 milyon bağlantıya ulaşmıştır. Cihazların 170 ülkede bulunduğu belirtildi. Ancak bunlardan sadece 15 tanesi toplam enfeksiyonların %80’inden fazlasını oluştururken, Nijerya, Hindistan, Çin, İran, Endonezya, İngiltere, Irak ve Amerika Birleşik Devletleri ilk sekizi oluşturdu.

Hala risk altında

İlk başta dünya çapında çok sayıda virüslü uç nokta varmış gibi görünse de, araştırmacılar sayıların tamamen kesin olmayabileceğini vurguladılar. Kötü amaçlı yazılımın C2’si benzersiz tanımlayıcılara sahip değildir, bu da tehlikeye atılmış birçok iş istasyonu aynı IP adresinden çıkabileceği için sonuçları karıştırır.

Ayrıca, cihazlardan herhangi biri dinamik bir IP sistemi kullanıyorsa, tek bir cihaz birden fazla cihaz olarak algılanabilir. Son olarak, birçok bağlantı VPN hizmetleri üzerinden geliyor olabilir, bu da ülkeyle ilgili istatistikleri tartışmalı hale getirir.

Araştırmacılar, PlugX’in ilk olarak 2008 yılında Çin devlet destekli tehdit aktörleri tarafından düzenlenen siber casusluk kampanyalarında gözlemlendiğini söyledi. Hedefler çoğunlukla Asya’da bulunan hükümet, savunma ve teknoloji sektörlerindeki kuruluşlardı. Kötü amaçlı yazılım komut yürütme, dosya indirme ve yükleme, keylogging ve sistem bilgilerine erişme yeteneğine sahipti. Yıllar geçtikçe, USB sürücüler aracılığıyla otonom olarak yayılma yeteneği gibi, bugün kontrol altına alınmasını neredeyse imkansız hale getiren ek özellikler geliştirdi. Hedef listesi de Batı’ya doğru genişledi.

Ancak, 2015 yılında kaynak kodunun sızdırılmasının ardından PlugX, hem devlet destekli hem de finansal motivasyonlu birçok farklı grubun kullandığı “yaygın” bir kötü amaçlı yazılım haline geldi ve muhtemelen orijinal geliştiriciler bu yüzden onu terk etti.