Компания ESET объявила о раскрытии киберпреступной деятельности группировки XDSpy, основными целями которой были частные компании и государственные учреждения Украины, Сербии, России, Молдовы, Беларуси.
Киберпреступная группировка XDSpy уникальна тем, что в течение 9 лет никто не смог обнаружить ее деятельность в киберпространстве. Впервые мероприятия и операции, которые были проведены хакерами XDSpy, были описаны в отчете исследователей компании ESET на выступлении во время конференции по безопасности Virus Bulletin.
Эксперты из ESET отмечают, что группировка специализируется на разведке и краже важной, конфиденциальной документации. Большая часть кибератак была проведена ей в отношении частных компаний и правительственных учреждений стран Восточной Европы и Балкан. В соответствии с данными телеметрии ESET, в число целевых стран группы входили Беларусь, Молдова, Россия, Сербия и Украина, однако отдельно говорится о том, что другие операции XDSpy все еще могут быть не обнаружены.
Вредоносное ПО, которое применяется группировкой XDSpy, описывается представителями ESET как «не самое современное, но достаточное для заражения жертв и сбора конфиденциальной информации».
Чаще всего при проведении атак группировка XDSpy использовала вредоносный загрузчик XDDown, который применялся для заражения жертвы и дальнейшей загрузки дополнительных вредоносных модулей, выполняющих разные специализированные задачи:
- XDREcon (модуль сканирования зараженного хоста, сбора технических характеристик, информации об операционной системе, отправки данных обратно на командный сервер).
- XDList (модуль для поиска на зараженном устройстве файлов с конкретными расширениями; например, файлы, связанные с Office, PDF-файлы, адресные книги).
- XDMonitor (модуль, отслеживающий, какие устройства были подключены к зараженному хосту).
- XDUpload (модуль, который брал файлы, идентифицированные XDList, и загружал их на сервер XDSpy).
- XDLoc (модуль для сбора информации о ближайших сетях Wi-Fi, который, как предполагается, использовался для отслеживания перемещений жертв с использованием карт общедоступных сетей Wi-Fi).
- XDPass (модуль, извлекающий пароли из локальных браузеров).
Заражение жертв, как отмечают в ESET, происходит банальным образом – с помощью фишинговых почтовых кампаний. Электронные письма содержали вредоносные вложения, такие как файлы PowerPoint, JavaScript, ZIP или ярлыки (LNK). Загрузка и запуск любого из этих файлов обычно заражает жертву вредоносным ПО.
Учитывая характеристики вредоносного ПО, ограниченность его распространения, цели в виде правительственных учреждений (в число которых входили МИДы стран и учреждения вооруженных сил), компания ESET убеждена, что киберпреступная группировка XDSpy является APT – группой хакеров, которая имеет государственное финансирование, осуществляет операции, связанные со шпионажем и сбором разведывательных данных.
При этом не отмечается, как именно страна финансирует XDSpy. Предполагается, что это может быть одно из государств НАТО, Россия или Китай.
ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ