МОСКВА, 5 окт — ПРАЙМ. Первые крупные атаки хакерской группы XDSpy были зафиксированы в начале 2020 года, ее жертвами были в основном граждане России, в меньшей степени — стран СНГ, рассказали опрошенные РИА Новости эксперты в сфере информационной и кибербезопасности.
По словам руководителя отдела исследования сложных угроз Group-IB Анастасии Тихоновой, первым об атаках этой группы сообщал белорусский CERT в начале года. Тогда злоумышленники получили доступ к скомпрометированным учетным записям нескольких электронных ящиков и с них отправляли веерную рассылку с вредоносным ПО на 100 адресов сотрудников госорганов и организаций, юридических и физических лиц.
"В числе получателей были: сотрудники Совета Республики, Совета министров, министерства экономики, министерства финансов, министерства промышленности, министерства информации, Государственного комитета по стандартизации, а также ряда силовых структур. В письмах содержался загрузчик — довольно примитивный троян, подкачивавший другие плагины, каждый из которых выполнял свою функцию: один воровал логины-пароли браузера, другой — собирал общую информацию о системе, третий — файлы определённого разрешения, четвертый – данные о подключаемых устройствах", — рассказала она.
Дальнейшие рассылки, по ее словам, проводились на несколько стран по большому числу разнонаправленных адресов, интерес для киберпреступников представляли прежде всего страны СНГ. "Можно предположить, что задачей был не столько шпионаж или саботаж — вероятно, злоумышленники были финансово мотивированы. Не исключено, что их целью была дальнейшая продажа полученных доступов к корпоративным и государственным сетям, которыми могли воспользоваться уже серьезные прогосударственные хакерские группы — APT, в том числе для шпионажа или кибердиверсий", — добавила она.
Эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо отметил, что целью атакующих были не только жители стран СНГ. "По данным нашей телеметрии, мы можем подтвердить, что жертвы находятся в основном на территории в РФ, меньшая их часть — в Беларуси. Также одиночные жертвы были обнаружены в Азиатско-Тихоокеанском регионе. Основываясь на тактиках, техниках и процедурах (TTP), а также артефактах в коде вредоносного ПО, мы можем предположить, что авторы кода хорошо владеют русским языком. Важно отметить, что мы не смогли найти похожести по коду ни с одной из нам известных групп", — сказал он.
В пресс-службе компании ESET добавили, что в качестве приманки хакеры использовали в теме письма пандемию COVID-19 и сообщения о потерянных или найденных вещах. Письма содержали вредоносные вложения, такие как файлы Powerpoint, JavaScript, ZIP или ярлыки, а атаки группа проводила с 2011 года.
"Образцы вредоносных программ запутывают коды и динамическую загрузку библиотеки Windows API. В их основные функции входит мониторинг съемных дисков, создание снимков экрана и удаление документов. Кроме того, мы обнаружили специальный модуль, собирающий идентификаторы ближайших точек доступа Wi-Fi, вероятно, с целью обнаружения взломанных компьютеров. Они также используют утилиты NirSoft для восстановления паролей от веб-браузеров и почтовых клиентов. В некоторых конкретных случаях нам удавалось получить списки путей к украденным файлам", — сказал собеседник агентства.
