Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, которая провела как минимум четыре успешные атаки на государственный сектор и промышленные предприятия. Ранее аналогичную активность заметили и в Белоруссии. Исследователи предполагают, что группировка собирает разведданные для какого-либо иностранного правительства либо продает информацию прогосударственным хакерам.
Недавно обнаруженная хакерская группировка XDSpy активна на территории России, рассказали опрошенные “Ъ” компании в сфере кибербезопасности. За 2019–2020 годы экспертный центр безопасности Positive Technologies выявил четыре атаки XDSpy на промышленные предприятия и организации государственного сектора России, рассказал ведущий специалист группы исследования угроз компании Денис Кувшинов. По его данным, атаки были успешными, так как изученные образцы вредоносного программного обеспечения (ВПО) подтверждали сбор, шифровку и отправку данных на серверы злоумышленников.
Об обнаружении XDSpy, которая проводит целевые атаки на госструктуры и частные компании Восточной Европы, 2 октября сообщили исследователи словацкой ESET на конференции по кибербезопасности Virus Bulletin 2020. По данным компании, группировке удавалось остаться незамеченной почти девять лет, с 2011 года.
Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, например файлами PowerPoint, ZIP или ярлыками, загрузка которых заражает жертву вредоносными программами.
Жертвы XDSpy находятся в основном в России, меньшая их часть — в Белоруссии, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, также одиночные жертвы были обнаружены в Азиатско-Тихоокеанском регионе. Именно об атаке этой группировки шла речь в сообщении Национального центра реагирования на компьютерные инциденты Белоруссии в феврале 2020 года, уверена руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова. Тогда злоумышленники получили доступ к скомпрометированным учетным записям нескольких электронных ящиков и с них отправляли веерную рассылку ВПО примерно на 100 адресов сотрудников госорганов и организаций, в том числе Совета республики, Совета министров, министерств экономики, финансов, промышленности и информации, Госкомитета по стандартизации и ряда силовых структур.
Исходя из особенностей ВПО и нацеленности на правительственные учреждения, в ESET полагают, что XDSpy занимается шпионажем и собирает разведданные для иностранного правительства. В компании не уточнили, какое именно правительство может стоять за группировкой, но отметили, что многие образцы вредоносных программ XDSpy были составлены в восточноевропейских часовых поясах.
Основываясь на тактиках, техниках и процедурах, а также артефактах в коде ВПО, в «Лаборатории Касперского» полагают, что авторы кода хорошо владеют русским языком.
Поскольку рассылки производились на несколько стран по большому числу разнонаправленных адресов и интерес для киберпреступников представляли прежде всего страны СНГ, можно предположить, что задачей был не столько шпионаж или саботаж, а злоумышленники были финансово мотивированы, возражает Анастасия Тихонова. По ее мнению, целью хакеров могла быть дальнейшая продажа полученных доступов к корпоративным и государственным сетям, которыми могли воспользоваться уже серьезные прогосударственные хакерские группы, в том числе для шпионажа или кибердиверсий.