На госсектор напустили кибершпионов

Источник
В России заметили новую группировку хакеров.
Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, которая провела как минимум четыре успешные атаки на государственный сектор и промышленные предприятия. Ранее аналогичную активность заметили и в Белоруссии. Исследователи предполагают, что группировка собирает разведданные для какого-либо иностранного правительства либо продает информацию прогосударственным хакерам.

Недавно обнаруженная хакерская группировка XDSpy активна на территории России, рассказали опрошенные “Ъ” компании в сфере кибербезопасности. За 2019–2020 годы экспертный центр безопасности Positive Technologies выявил четыре атаки XDSpy на промышленные предприятия и организации государственного сектора России, рассказал ведущий специалист группы исследования угроз компании Денис Кувшинов. По его данным, атаки были успешными, так как изученные образцы вредоносного программного обеспечения (ВПО) подтверждали сбор, шифровку и отправку данных на серверы злоумышленников.

Об обнаружении XDSpy, которая проводит целевые атаки на госструктуры и частные компании Восточной Европы, 2 октября сообщили исследователи словацкой ESET на конференции по кибербезопасности Virus Bulletin 2020. По данным компании, группировке удавалось остаться незамеченной почти девять лет, с 2011 года.

Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, например файлами PowerPoint, ZIP или ярлыками, загрузка которых заражает жертву вредоносными программами.

Жертвы XDSpy находятся в основном в России, меньшая их часть — в Белоруссии, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, также одиночные жертвы были обнаружены в Азиатско-Тихоокеанском регионе. Именно об атаке этой группировки шла речь в сообщении Национального центра реагирования на компьютерные инциденты Белоруссии в феврале 2020 года, уверена руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова. Тогда злоумышленники получили доступ к скомпрометированным учетным записям нескольких электронных ящиков и с них отправляли веерную рассылку ВПО примерно на 100 адресов сотрудников госорганов и организаций, в том числе Совета республики, Совета министров, министерств экономики, финансов, промышленности и информации, Госкомитета по стандартизации и ряда силовых структур.

Исходя из особенностей ВПО и нацеленности на правительственные учреждения, в ESET полагают, что XDSpy занимается шпионажем и собирает разведданные для иностранного правительства. В компании не уточнили, какое именно правительство может стоять за группировкой, но отметили, что многие образцы вредоносных программ XDSpy были составлены в восточноевропейских часовых поясах.

Основываясь на тактиках, техниках и процедурах, а также артефактах в коде ВПО, в «Лаборатории Касперского» полагают, что авторы кода хорошо владеют русским языком.

Поскольку рассылки производились на несколько стран по большому числу разнонаправленных адресов и интерес для киберпреступников представляли прежде всего страны СНГ, можно предположить, что задачей был не столько шпионаж или саботаж, а злоумышленники были финансово мотивированы, возражает Анастасия Тихонова. По ее мнению, целью хакеров могла быть дальнейшая продажа полученных доступов к корпоративным и государственным сетям, которыми могли воспользоваться уже серьезные прогосударственные хакерские группы, в том числе для шпионажа или кибердиверсий.
Персоны Компании
За 3 миллиарда рублей ФСИН поборется с фальшивыми колл-центрами, расплодившимися в колониях
ФСИН решила бороться с заключенными, которые из колоний организуют фальшивые колл-центры и обманывают клиентов банков. Реакция может быть запоздалой: поддельные колл-центры уже активно «переезжают» на волю.
Российский вирус-вымогатель прикончил пациентку в Дюссельдорфе
Россию обвиняют в очередной кибератаке, на сей раз — с летальным исходом.
Хакеры ловят добычу на расширение «online»
Фальшивые домены крупных банков наводнили рынок.
У Яндекс.Еды расплодились фальшивые клоны
В рунете множатся поддельные сайты доставки.
Garmin жалуется на наследивших русских хакеров
Квартальные финансовые итоги Garmin вновь удивляют аналитиков. Прибыль на акцию превзошла консенсус-прогноз более чем на 8 % и достигла 0,91 доллара.
Российского хакера с чекистским прошлым колет ФБР
Как основатель deer.io Кирилл Фирсов оказался в американской тюрьме, и почему Роскомнадзор наши хакеры не интересуют.
Казино и немцы Яна Марсалека и зачем он прячется от германской прокуратуры под Москвой
Скандал вокруг финтех-компании Wirecard с каждой неделей обрастает все новыми подробностями. 
Ян Марсалек перевелся в Россию
В Германии задержан основатель компании Маркус Браун, которого немецкая прокуратура объявила главным организатором мошенничества с отчетностью и кредиторами. А один из главных участников скандала
Северокорейские хакеры шарят по кошелькам россиян
Эксперты заметили целевые атаки северокорейской группировки Lazarus.
Сим-карты открыли мошенникам дверь к миллионам
Задержаны аферисты, списывавшие деньги со счетов граждан.
Мошенники подсели на пособия
«Касперский» выявил всплеск мошеннических сайтов с предложением соцвыплат. В ближайшее время ситуация не улучшится, считают эксперты. 
Как Касперский подкинул власти Polys
История блокчейн-платформы для голосования о поправках в Конституцию.
Фальшивые Сбербанк и Альфа-банк раздают деньги в Facebook
Мошенники воспользовались «текущей ситуацией».
Столото запустило лапу в кошельки россиян
Лотерейная сеть взвинтила агрессивность рекламы до максимума.
Rambler Group пытался отжать Nginx через казахского решалу
Кенес Ракишев и Юрий Калоев «слепили» уголовное дело с помощью левых опросов экс-сотрудников Рамблера.
От «Вулкана» до «Азино» - как онлайн-казино испортили интернет и где реакция государства?
Azino777 вновь на слуху. И дело не в очередном рэп-шедевре, а в уголовщине
Кто ответит за фабрикацию дела Nginx?
​​​Кенес Ракишев, Юрий Калоев, Владимир Тимошин, Максимилиан Гришин
Фальшивыми пропусками по Москве торгуют 126 интернет-ресурсов
Раскрыта афера по продаже электронных пропусков.