İlk olarak 2023 yılında güvenlik firması Sophos tarafından yayınlanan bir gönderide gün ışığına çıkan solucan, 2019 yılında PlugX olarak bilinen bir kötü amaçlı yazılım çeşidinin USB sürücülere otomatik olarak bulaşmasına olanak tanıyan işlevsellik eklemesiyle aktif hale geldi. Buna karşılık, bu sürücüler bağlandıkları herhangi bir yeni makineye bulaşacak ve bu, kötü amaçlı yazılımın herhangi bir son kullanıcı etkileşimi gerektirmeden yayılmasına olanak tanıyacak bir özellikti.
PlugX’i en az 2008’den bu yana takip eden araştırmacılar, kötü amaçlı yazılımın Çin kökenli olduğunu ve ülkenin Devlet Güvenlik Bakanlığı’na bağlı çeşitli gruplar tarafından kullanıldığını söyledi.
Bunca yıldan sonra hala aktif
Açık olmayan nedenlerden dolayı solucanın yaratıcısı, komuta ve kontrol kanalı olarak belirlenen tek IP adresini terk etti. Artık virüs bulaşan makineleri kontrol eden kimse olmadığından, PlugX solucanı fiilen ölmüştü ya da en azından öyle olduğu varsayılabilirdi. Güvenlik firması Sekoia’nın araştırmacıları, solucanın muhtemelen milyonlarca kişiye ulaşan, belirsiz sayıda makinede yaşamaya devam ettiğini ortaya çıkardı.
Araştırmacılar IP adresini satın aldılar ve kendi sunucu altyapılarını ona bağlanan “çukur” trafiğe bağladılar, bu da trafiğin kötü niyetli olarak kullanılmasını önlemek için müdahale etmek anlamına geliyor. O zamandan beri sunucuları her gün 90.000 ila 100.000 benzersiz IP adresinden PlugX trafiğini almaya devam ediyor.
Altı ay boyunca araştırmacılar yaklaşık 2,5 milyon benzersiz IP’den gelen istekleri saydı. Bu tür istekler neredeyse tüm kötü amaçlı yazılım türleri için standart ve genellikle dakikalardan günlere kadar uzanan düzenli aralıklarla gerçekleşir. Etkilenen IP’lerin sayısı doğrudan virüs bulaşan makinelerin sayısını göstermese de, hacim solucanın binlerce, muhtemelen milyonlarca cihazda aktif kaldığını gösteriyor.
Yukarıdaki harita, Sinkhole’a rapor veren ülke IP’lerini gösteriyor.
Sekoia araştırmacıları Felix Aimé ve Charles M, “Başlangıçta, normal obruklarımızda olduğu gibi buna bağlı birkaç bin kurbanımız olacağını düşündük.” diye yazdı. “Ancak, basit bir web sunucusu kurarak günün saatine göre değişen sürekli bir HTTP isteklerinin akışını gördük.”
Solucanın diğer çeşitlerinin, güvenlik çevrelerinde bilinen en az üç komuta ve kontrol kanalı aracılığıyla aktif kaldığını söylediler. Ancak bunlardan birinin de batmış olabileceğine dair belirtiler var.
Tek bir gün içinde gelen trafik örneği, Nijerya’nın en fazla virüslü makine yoğunluğuna ev sahipliği yaptığını, onu Hindistan, Endonezya ve Birleşik Krallık’ın takip ettiğini gösterdi.
Araştırmacılar şunu yazdı:
Bu verilere dayanarak, yaklaşık 15 ülkenin toplam enfeksiyonların %80’inden fazlasını oluşturması dikkat çekici. Ayrıca enfeksiyon kapmış önde gelen ülkelerin pek çok benzerliği paylaşmaması da ilgi çekici; bu durum, İspanyolca yazılan ülkelerde en yüksek enfeksiyon oranlarına sahip olan RETADUP gibi daha önceki USB solucanlarında gözlemlenen bir modeldir. Bu, bu solucanın farklı ülkelerdeki birden fazla sıfır hastadan kaynaklanmış olabileceği ihtimalini akla getiriyor.
Bunun bir açıklaması, en büyük yoğunlaşmaların çoğunun, Çin hükümetinin altyapıya önemli yatırımlar yaptığı kıyı şeridine sahip ülkelerde olması. Ek olarak, en çok etkilenen ülkelerin birçoğu Çin’in askeri hedefleri açısından stratejik öneme sahip. Araştırmacılar, kampanyanın amacının Çin hükümetinin bu hedeflere ulaşmak için kullanabileceği istihbarat toplamak olduğunu öne sürdü.
Araştırmacılar, zombi solucanının, IP adresinin kontrolünü ele geçiren veya kendisini bu adresteki sunucu ile virüs bulaşmış bir cihaz arasındaki yola sokmayı başaran herhangi bir tehdit aktörü tarafından ele geçirilmeye açık olduğunu belirtti. Bu tehdit, etkilenen ülkelerin hükümetleri için ilginç ikilemler yaratıyor. Hiçbir eylemde bulunmayarak mevcut durumu korumayı seçebilirler ya da solucanın içine yerleştirilmiş ve virüs bulaşmış makineleri dezenfekte edecek bir kendi kendini silme komutunu etkinleştirebilirler. Ek olarak, ikinci seçeneği tercih etmeleri durumunda, yalnızca virüslü makineyi temizlemeyi veya bağlı olan virüslü USB sürücülerini dezenfekte etmek için yeni işlevsellik eklemeyi seçebilirler.
Söz konusu solucan sürücülere bulaştığından, onları temizlemek mevcut verilerin silinme riskini beraberinde getirir. Diğer yandan, enfekte sürücülerin enfekte kalmasına izin vermek solucanın yayılmasına yeniden başlamasına neden olabilir. Karar verme sürecini daha da karmaşıklaştıran bir husus, araştırmacıların belirttiği gibi, herhangi birinin takılmış olan enfekte sürücüleri temizlemek için komutlar vermesi durumunda, uzaktan temizleme komutu verildiğinde bağlı olmayan sürücülerde solucanın hala yaşayacağı kaçınılmazdır.
Araştırmacılar, “Ayrıca, sahip olmadığımız iş istasyonlarına keyfi bir komut göndermeyi içeren geniş çaplı bir dezenfeksiyon kampanyasından kaynaklanabilecek potansiyel yasal zorluklar göz önüne alındığında, ilgili ülkelerdeki Ulusal Bilgisayar Acil Durum Müdahale Ekipleri (CERTs), Kanun Uygulama Kurumları (LEAs) ve Siber Güvenlik otoritelerinin takdirine bırakılmak üzere iş istasyonlarını dezenfekte etme kararını ertelemeye karar verdik.” diye yazıyor.
“Dezenfeksiyon listesine sahip olduklarında, üç aylık bir süre için dezenfeksiyonu başlatmaları için erişim sağlayabiliriz. Bu süre zarfında, dezenfekte edilmeye işaretlenmiş bir Otonom Sistemden gelen herhangi bir PlugX isteği, bir kaldırma komutu veya kaldırma yükü ile yanıtlanacaktır.”