Pháp, Mỹ dọn dẹp từ xa cho hàng nghìn máy tính bị nhiễm phần mềm độc hại của Mustang Panda

Theo thông cáo báo chí của Bộ tư pháp Mỹ (DOJ), vụ lây nhiễm mã độc gián điệp PlugX được cho là có liên quan tới nhóm tin tặc khét tiếng Mustang Panda (hoặc Twill Typhoon). Từ năm 2014 trở đi, chúng đã sử dụng  PlugX để lây nhiễm, kiểm soát và thu thập thông tin từ các máy tính bên ngoài Trung Quốc nhằm mục đích đánh cắp thông tin, theo dõi và thực hiện các hành động gián điệp.

Vào tháng 3 năm nay, công ty an ninh mạng ESET cũng phát hiện ra Mustang Panda đã truy cập được vào máy tính của các công ty vận chuyển hàng hóa ở Na Uy, Hy Lạp và Hà Lan. Các báo cáo an ninh mạng vào mùa hè năm ngoái cũng xác định, nhóm này cũng đã xâm phạm, tấn công vào hệ thống viễn thông trên khắp khu vực châu Á – Thái Bình Dương. Bất chấp các báo cáo an ninh mạng trước đó, các chủ sở hữu máy tính vẫn bị nhiễm PlugX mà hoàn toàn không nhận thức được điều này.

Chính quyền Pháp đã chỉ đạo chiến dịch rà quét mã độc PlugX với sự hỗ trợ của công ty an ninh mạng Sekoia có trụ sở tại Paris. Trong một thông cáo báo chí năm ngoái, các công tố viên Pháp cho biết phần mềm độc hại — được gọi là "PlugX" — đã lây nhiễm cho hàng triệu máy tính trên toàn cầu, bao gồm 3.000 thiết bị đặt tại Pháp.

Về cơ chế, sau khi âm thầm xâm nhập và cài đặt vào thiết bị, phần mềm độc hại sẽ tiếp tục "thu thập và dàn dựng các tệp máy tính của nạn nhân để đánh cắp thông tin. Chính quyền Pháp cho biết phần mềm độc hại PlugX "được sử dụng đặc biệt cho mục đích gián điệp". 

Công ty an ninh mạng Sekoia cho biết trong một bài đăng trên blog rằng họ đã phát triển tính năng gửi lệnh đến các thiết bị bị nhiễm để xóa phần mềm độc hại PlugX từ xa. Chính quyền Mỹ cũng đã sử dụng phương pháp này để xóa phần mềm độc hại khỏi hơn 4.200 máy tính bị nhiễm tại nước này.

Việc gửi lệnh để xóa PlugX trên các thiết bị đã bị lây nhiễm không ảnh hưởng tới các hoạt động khác của thiết bị, đồng thời không thu thập các nội dung được lưu trữ của người dùng trong đó.

Như vậy, với phương pháp này, cơ quan chức năng có thể âm thầm xóa đi mã độc trong các thiết bị của nạn nhân một cách nhanh chóng, hiệu quả, từ xa. Hoạt động này đã được sự chấp thuận của tòa án, tuy nhiên FBI vẫn thông qua các nhà cung cấp dịch vụ internet để thông báo tới những chủ sở hữu máy tính chạy Windows tại Mỹ bị ảnh hưởng bởi chiến dịch này.

Cũng theo DOJ đánh giá, các cuộc tấn công của Mustang Panda diễn ra trên diện rộng và lây nhiễm lâu dài đối với hàng nghìn máy tính Windows, bao gồm nhiều máy tính gia đình tại Mỹ, cho thấy sự liều lĩnh và hung hăng của tin tặc. Việc hợp tác với các đối tác quốc tế và tư nhân – được tòa án cho phép, nhằm xóa phần mềm độc hại PlugX chứng minh cam kết của họ đối với cách tiếp cận “Toàn xã hội” để bảo vệ an ninh mạng cho người dân.

FBI tiếp tục điều tra hoạt động xâm nhập máy tính của Mustang Panda và khuyến cáo người dân, nếu nghi ngờ thiết bị của mình bị nhiễm mã độc, hãy liên hệ tới Trung tâm khiếu nại về tội phạm Internet (IC3) của FBI hoặc liên hệ trực tiếp với văn phòng FBI tại địa phương để được hỗ trợ. FBI khuyến khích mạnh mẽ việc sử dụng phần mềm diệt vi-rút cũng như áp dụng các bản cập nhật bảo mật phần mềm để giúp ngăn ngừa tái nhiễm.