Обнаружена государственная хакерская группа, которая скрытно действовала в течение 9 лет

Дата: 02.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Обнаружена государственная хакерская группа, которая скрытно действовала в течение 9 лет

Компания ESET объявила о раскрытии киберпреступной деятельности группировки XDSpy, основными целями которой были частные компании и государственные учреждения Украины, Сербии, России, Молдовы, Беларуси.

Киберпреступная группировка XDSpy уникальна тем, что в течение 9 лет никто не смог обнаружить ее деятельность в киберпространстве. Впервые мероприятия и операции, которые были проведены хакерами XDSpy, были описаны в отчете исследователей компании ESET на выступлении во время конференции по безопасности Virus Bulletin.

Эксперты из ESET отмечают, что группировка специализируется на разведке и краже важной, конфиденциальной документации. Большая часть кибератак была проведена ей в отношении частных компаний и правительственных учреждений стран Восточной Европы и Балкан. В соответствии с данными телеметрии ESET, в число целевых стран группы входили Беларусь, Молдова, Россия, Сербия и Украина, однако отдельно говорится о том, что другие операции XDSpy все еще могут быть не обнаружены.

Вредоносное ПО, которое применяется группировкой XDSpy, описывается представителями ESET как «не самое современное, но достаточное для заражения жертв и сбора конфиденциальной информации».

Чаще всего при проведении атак группировка XDSpy использовала вредоносный загрузчик XDDown, который применялся для заражения жертвы и дальнейшей загрузки дополнительных вредоносных модулей, выполняющих разные специализированные задачи:

  • XDREcon (модуль сканирования зараженного хоста, сбора технических характеристик, информации об операционной системе, отправки данных обратно на командный сервер).
  • XDList (модуль для поиска на зараженном устройстве файлов с конкретными расширениями; например, файлы, связанные с Office, PDF-файлы, адресные книги).
  • XDMonitor (модуль, отслеживающий, какие устройства были подключены к зараженному хосту).
  • XDUpload (модуль, который брал файлы, идентифицированные XDList, и загружал их на сервер XDSpy).
  • XDLoc (модуль для сбора информации о ближайших сетях Wi-Fi, который, как предполагается, использовался для отслеживания перемещений жертв с использованием карт общедоступных сетей Wi-Fi).
  • XDPass (модуль, извлекающий пароли из локальных браузеров).
Обнаружена государственная хакерская группа, которая скрытно действовала в течение 9 лет

Заражение жертв, как отмечают в ESET, происходит банальным образом – с помощью фишинговых почтовых кампаний. Электронные письма содержали вредоносные вложения, такие как файлы PowerPoint, JavaScript, ZIP или ярлыки (LNK). Загрузка и запуск любого из этих файлов обычно заражает жертву вредоносным ПО.

Учитывая характеристики вредоносного ПО, ограниченность его распространения, цели в виде правительственных учреждений (в число которых входили МИДы стран и учреждения вооруженных сил), компания ESET убеждена, что киберпреступная группировка XDSpy является APT – группой хакеров, которая имеет государственное финансирование, осуществляет операции, связанные со шпионажем и сбором разведывательных данных.

При этом не отмечается, как именно страна финансирует XDSpy. Предполагается, что это может быть одно из государств НАТО, Россия или Китай.

Артем П

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *