US-Behörden haben bestätigt, dass sie die Operationen einer staatlich unterstützten chinesischen Hackergruppe gestört haben, die im Rahmen einer jahrelangen Spionagekampagne Millionen von Computern auf der ganzen Welt infiltriert hat, um Daten zu stehlen.
Das teilten das Justizministerium und das FBI am Dienstag mit Sie haben die Malware erfolgreich gelöscht von der von China unterstützten Hackergruppe „Twill Typhoon“ oder „Mustang Panda“ während einer gerichtlich genehmigten Operation im August 2024 aus Tausenden infizierten Systemen in den Vereinigten Staaten gepflanzt.
Die französischen Behörden leiteten die Operation mit Hilfe des in Paris ansässigen Cybersicherheitsunternehmens Sekoai. In einem Pressemitteilung vom letzten JahrFranzösische Staatsanwälte sagten, die Malware – bekannt als „PlugX“ – habe mehrere Millionen Computer auf der ganzen Welt infiziert, darunter 3.000 Geräte in Frankreich.
Sekoia sagte in einem Blogbeitrag, dass es sich entwickelt habe die Fähigkeit, Befehle zu senden auf infizierte Geräte, um PlugX-Malware zu löschen. Nach Angaben der US-Behörden wurde mit der Operation die Malware von mehr als 4.200 infizierten Computern in den USA gelöscht.
In Gerichtsakten vor einem Bundesgericht in Pennsylvania sagte das FBI, es habe die Malware – die normalerweise über den USB-Anschluss eines Computers auf dem Gerät eines Ziels installiert wird – seit 2012 beobachtet und dass die Malware von staatlich unterstützten chinesischen Unternehmen verwendet worden sei. Hacker seit 2014.
Sobald die Malware installiert ist, „sammelt sie Dateien vom Computer des Opfers und bereitet sie für die Exfiltration vor“, so das FBI. Die französischen Behörden behaupten, dass die PlugX-Malware „insbesondere zu Spionagezwecken eingesetzt wird“.
In seiner Erklärung vom Dienstag warf das US-Justizministerium der chinesischen Regierung vor, die Twill-Typhoon-Gruppe für die Entwicklung der PlugX-Malware zu bezahlen. China hat die Hacker-Vorwürfe der USA seit langem zurückgewiesen.
Obwohl die konkreten Opfer dieser Hacking-Kampagne nicht identifiziert wurden, behauptet das FBI, dass Twill Typhoon die Systeme „zahlreicher“ staatlicher und privater Organisationen, auch in den Vereinigten Staaten, infiltriert hat. Zu den bedeutenden Zielen gehören laut FBI europäische Schifffahrtsunternehmen, mehrere europäische Regierungen, chinesische Dissidentengruppen und mehrere Regierungen in der indopazifischen Region.
Twill Typhoon reiht sich in die wachsende Liste ein Chinesische staatlich geförderte Hackergruppen mit dem Spitznamen Taifun. Zu dieser Liste gehören Volt Typhoon, eine Hackergruppe der chinesischen Regierung, deren Aufgabe es ist, den Grundstein für zerstörerische Cyberangriffe zu legen, und Salt Typhoon, die von China unterstützte Gruppe, die dafür verantwortlich ist der Massen-Hackerangriff auf US-amerikanische Telefon- und Internetunternehmen.
Laut Microsoft, das das Benennungssystem für Hackergruppen entwickelt hat, kann Twill Typhoon (früher bekannt als „Tanalum“) auf eine Erfolgsbilanz bei der erfolgreichen Kompromittierung von Regierungsapparaten in Afrika und Europa sowie von humanitären Hilfsorganisationen auf der ganzen Welt zurückblicken.
Microsoft antwortete am Dienstag nicht sofort auf die Fragen von TechCrunch.