Un worm USB, ora abbandonato, che ha backdoor sui dispositivi connessi, continua ad autoplicarsi da anni dopo che i suoi creatori ne hanno perso il controllo e rimane attivo su migliaia, forse milioni, di macchine.
Questo worm, emerso per la prima volta in un post del 2023 pubblicato dalla società di sicurezza Sophos, ha iniziato la sua attività nel 2019 quando una variante di malware nota come PlugX ha aggiunto funzionalità che gli permettevano di infettare automaticamente le unità USB. A loro volta, queste unità infettavano qualsiasi nuova macchina a cui si collegavano, permettendo al malware di diffondersi senza richiedere alcuna interazione da parte dell'utente finale. I ricercatori, che monitorano PlugX fin dal 2008, hanno detto che il malware ha origini in Cina ed è stato utilizzato da vari gruppi legati al Ministero della Sicurezza dello Stato del paese.
Per ragioni non chiare, il creatore del worm ha abbandonato l'unico indirizzo IP designato come suo canale di comando e controllo. Senza che nessuno controlli più le macchine infette, il worm PlugX era effettivamente morto, almeno così si sarebbe potuto presumere. In realtà, però, è continuato a vivere in un numero indeterminato di macchine, che potrebbero raggiungere milioni, hanno riportato i ricercatori della società di sicurezza Sekoia.
I ricercatori hanno acquistato l'indirizzo IP e hanno collegato la propria infrastruttura server per "sinkhole" il traffico che si connetteva a esso, ovvero intercettando il traffico per impedirne un uso malintenzionato. Da allora, il loro server continua a ricevere traffico PlugX da 90.000 a 100.000 indirizzi IP unici ogni giorno. Nel giro di sei mesi, i ricercatori hanno contato richieste provenienti da quasi 2,5 milioni di indirizzi IP unici. Questi tipi di richieste sono comuni per quasi tutte le forme di malware e di solito avvengono a intervalli regolari che vanno da minuti a giorni. Anche se il numero di IP interessati non indica direttamente il numero di macchine infette, il volume suggerisce comunque che il worm rimane attivo su migliaia, forse milioni, di dispositivi.
"Inizialmente pensavamo di avere qualche migliaio di vittime connesse ad esso, come avviene nei nostri sinkhole regolari," hanno scritto i ricercatori di Sekoia, Felix Aimé e Charles M. "Tuttavia, impostando un semplice server web, abbiamo visto un flusso continuo di richieste HTTP che variano nel corso della giornata."
Hanno continuato dicendo che altre varianti del worm rimangono attive attraverso almeno altri tre canali di comando e controllo noti nei circoli della sicurezza. Tuttavia, ci sono indicazioni che uno di essi potrebbe anche essere stato "sinkholed".
Basandosi su tali dati, è significativo notare che circa 15 paesi rappresentano oltre l'80% delle infezioni totali. È anche interessante notare che i paesi infetti principali non condividono molte somiglianze, un pattern osservato con worm USB precedenti come RETADUP, che ha i tassi di infezione più alti nei paesi di lingua spagnola. Questo suggerisce la possibilità che questo worm potrebbe essere originato da più pazienti zero in diversi paesi.
Una spiegazione è che la maggior parte delle più grandi concentrazioni si trovano in paesi che hanno coste dove il governo cinese ha significativi investimenti in infrastrutture. Inoltre, molti dei paesi più colpiti hanno un'importanza strategica per gli obiettivi militari cinesi. I ricercatori hanno ipotizzato che lo scopo della campagna fosse raccogliere informazioni che il governo cinese potrebbe utilizzare per raggiungere tali obiettivi.
Poiché il worm infetta le unità, disinfettarle comporta il rischio di cancellare i dati legittimi memorizzati su di esse. D'altra parte, consentire alle unità di rimanere infette rende possibile che il worm inizi nuovamente la sua proliferazione. Complicando ulteriormente il processo decisionale, i ricercatori hanno osservato che anche se qualcuno emette comandi che disinfettano eventuali unità infette collegate, è inevitabile che il worm continuerà a esistere nelle unità che non sono collegate quando viene emesso un comando di disinfezione remota.
