В Россию вернулась группировка XDSpy

Специалисты по информационной безопасности отследили опасные действия хакеров из группировки XDSpy, которая специализируется на кибершпионаже. Своими целями злоумышленники выбрали российские госучреждения, в том числе атаке подверглись структуры МИД России. В министерстве заявили, что атаки были успешно заблокированы. Потенциально ущерб от атак XDSpy может быть очень серьезным, признают эксперты. На какую страну работают эти хакеры, неизвестно.

Российские госучреждения подверглись атаке хакерской группировки XDSpy, известной целевыми атаками на госструктуры и частные компании Восточной Европы, рассказали «Ъ» собеседники на рынке кибербезопасности. В середине марта XDSpy разослала организациям фишинговые письма с вредоносными вложениями. Как утверждает один из собеседников «Ъ», целью новой атаки стали структуры российского МИДа. «13 марта был обнаружен архив под названием “Spisok_No_658.zip”, в котором хранятся два вредоносных файла»,— рассказывает он. После открытия архива жертвой хакеры могут получить доступ к конфиденциальным данным на зараженном компьютере, оставаясь при этом незамеченными.

В «Лаборатории Касперского» тоже зафиксировали вредоносные рассылки 13 марта: «Одна началась утром, только за первые четверо суток мы обнаружили несколько сотен писем, в которых под видом важного списка рассылается вредоносное ПО». Письма приходят якобы от регуляторов, рассказал руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун.

Цель атакующих — шпионаж, кража документов или данных для доступа к рабочей почте, утверждает эксперт. В каких организациях были зафиксированы атаки, в компании не уточнили.

В МИДе «Ъ» сообщили, что кибератаки на министерство в середине месяца были обнаружены и локализованы штатными средствами активной защиты и не получили дальнейшего распространения. В министерстве уточнили, что их IT-специалистами практически ежедневно фиксируются многочисленные попытки проведения различного рода «кибернападений на информационные системы».

«XDSpy — старая, но малоизученная и опасная группировка,— отмечает ведущий специалист по анализу вредоносного кода Group-IB Threat Intelligence Дмитрий Купин.— Впервые она была обнаружена белорусским CERT (Центр реагирования на инциденты информационной безопасности.— “Ъ”) в феврале 2020 года, хотя эксперты из международных компаний, например ESET, считают, что сама группа активна как минимум с 2011 года».

Несмотря на долгую историю XDSpy, расследователи киберперступлений как в России, так и в мире до сих пор не могут определить, в интересах какой страны работает эта группировка, признает собеседник «Ъ» на рынке кибербезопасности.

Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании, говорит господин Купин. Предыдущая масштабная кибератака XDSpy на территории России была зафиксирована в октябре 2020 года, тогда специалисты по кибербезопасности заметили сбор, шифровку и отправку данных компаний-жертв на серверы злоумышленников (см. «Ъ» от 5 октября 2020 года).

Масштаб ущерба при успешной атаке XDSpy может варьироваться от минимального до критичного, так как группа старается собрать все возможные документы и письма с зараженной машины, знает руководитель исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов.

Российские госучреждения массово подвергаются различным кибератакам с февраля прошлого года. Так, летом злоумышленники целенаправленно искали на теневых форумах базы данных, содержащие зашифрованные коды (хеш) паролей для идентификации на госсайтах и сервисах, чтобы в дальнейшем организовать их взлом (см. «Ъ» от 29 августа).

Татьяна Исакова