В РФ была обнаружена новая группировка киберпреступников

В России компании, занимающиеся кибербезопасностью, выявили группировку хакеров под названием XDSpy. Ее было проведено не меньше четырех удачных атак на предприятия промышленного типа и госсектор. До этого такая же активность наблюдалась в Белоруссии. Согласно предположениям исследователей, участники группировки добывают информацию для одного из зарубежных правительств или же продают ее другим хакерам.  

О том, что XDSpy активна работает на территории Российской Федерации, «Ъ» сообщили опрошенные журналистами компании, специализирующиеся на кибербезопасности. ЭЦБ Positive Technologies за период с 2019 г. по 2020 г. включительно обнаружил 4-е атаки группировки на предприятия промышленного типа и госорганизации страны. Эту информацию предоставил сотрудник компании Д. Кувшинов, ведущий специалист. Согласно имеющимся у него данным, хакерские атаки были удачными. Об этом свидетельствуют и образцы ВПО, которые подтверждают, что злоумышленники собирали, шифровали данные и отправляли их на свои серверы.

02.10 на Virus Bulletin 2020, конференции по информационной безопасности, об активности XDSpy рассказали и специалисты словацкой компании ESET. С их слов следует, что эта группировка начала работать с 2011 г. и все это время она оставалась практически незаметной.

Атаки проводятся путем отправки на электронную почту фишингового послания, в котором содержатся ярлыки, файлы ZIP или PowerPoint. После их загрузки на устройство устанавливаются и вирусные программы.

Д. Легезо, эксперт из «Лаборатории Касперского», говорит, что в большинстве своем жертвами хакеров становятся российские объекты. Меньшее их количество находится в Белоруссии. Кроме этого, были выявлены пострадавшие в АТР. А. Тихонова, начальник отдела исследования серьезных угроз компании Group-IB, говорит, что именно об этом CERT.BY в феврале текущего года.

В этой ситуации кибермошенники смогли получить доступ к учетным записям ряда e-mail откуда и осуществлялась веерная рассылка вредоносных ПО приблизительно на сто электронных адресов работников госорганизаций и госорганов, среди которых сотрудники Минэкономики, Минфина, Мининформа, Минпрома, Совмина, Совета республики, Госстандарта, силовых ведомств.

В ESET говорят, что, учитывая особенности вредоносного ПО и выбор жертв, группировка специализируется на шпионаже и сборе информации для одного из зарубежных правительств. Кто именно за всем этим может стоять, уточнено не было, но было сказано, что многие программы, задействованные XDSpy, созданы в часовых поясах восточноевропейского региона.

Специалисты «Лаборатории Касперского», изучив код вирусного ПО, техники, тактику и механизмы, считают, что разработчики отлично знают русский язык.

А. Тихонова считает, что, так как рассылки были направлены на различные адреса в основном в странах СНГ, то их действия, скорее всего, были мотивированы финансово. Она говорит, что, вероятно, они хотели перепродать полученные данные и доступы уже более серьезным хакерским организациям.