Компании в сфере кибербезопасности сообщили об активности в России недавно обнаруженной хакерской группировки XDSру. Как сообщил «Коммерсант», за 2019–2020 годы экспертный центр безопасности Positive Technologies заметил четыре атаки XDSру на промышленные предприятия и организации государственного сектора РФ. По данным ведущего специалиста группы исследования угроз Positive Technologies Дениса Кувшинова, атаки были успешными, поскольку изученные образцы вредоносного программного обеспечения (ВПО) подтверждали сбор, шлифовку и отправку данных на серверы злоумышленников.
Исследователи словацкой ESET сообщили об обнаружении XDSpy 2 октября на конференции по кибербезопасности Virus Bulletin 2020. По информации компании, группировке удавалось остаться незамеченной с 2011 года. Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, загрузка которых заражает жертву вредоносными программами.
Жертвы XDSpy находятся преимущественно в России, меньшая их часть – в Белоруссии, уточнил эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Одиночные жертвы были обнаружены и в Азиатско-Тихоокеанском регионе.
В ESET предполагают, что XDSpy занимается шпионажем и собирает разведданные для иностранного правительства. В компании не сказали, какое именно правительство может стоять за группировкой, но заметили, что многие образцы вредоносных программ XDSpy составлены в восточноевропейских часовых поясах.
Основываясь на информации о тактиках, техниках и процедурах, а также артефактах в коде ВПО, работники «Лаборатории Касперского» допускают, что авторы кода хорошо владеют русским языком.
По мнению руководителя отдела исследования сложных угроз Group-IB Анастасии Тихоновой, хакеры могли действовать с целью дальнейшей продажи полученных доступов к корпоративным и государственным сетям. Серьезные прогосударственные хакерские группы якобы могли воспользоваться ими. В частности, для шпионажа или кибердиверсий.