Спецпроекты

Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

Безопасность Стратегия безопасности

Выявлена хакерская группировка XDSpy, которая долгие годы специализировалась на атаках на госведомства стран Восточной Европы. Ее операторы, вероятнее всего, проживают примерно там же, где и жертвы.

Видишь шпиона? А он есть

Эксперты компании ESET опубликовали исследование в отношении кибершпионской группировки XDSpy, атаковавшей страны Восточной Европы. На протяжении девяти лет ей каким-то образом удавалось оставаться незамеченной.

Группировка получила название XDSpy в связи с тем, что во всех атаках, которые она производила, использовался один и тот же компонент под названием XDDown — исполняемый файл, которых осуществлял скачивание других вредоносных модулей. Жертвы кампании выявлены в России, Белоруссии, Молдавии, Сербии и на Украине; в основном это государственные органы и военные учреждения, хотя есть и ряд частных компаний.

До анализа ESET Центр реагирования на киберугрозы Белоруссии CERT.BY опубликовал краткий отчет о рассылке вредоносного ПО, получателями которого стали более чем сто человек — сотрудники госучреждений (в том числе нескольких министерств), физические лица и представители разных организаций.

Сотрудникам CERT.BY удалось установить один из контрольных серверов, использовавшихся в атаках. Эксперты ESET указали в числе C&C-серверов XDSpy.

haker600.jpg
Кибершпионская кампания девять лет оставалась незамеченной

Проанализировав вредоносный код, использовавшийся в атаках, сетевую инфраструктуру и выбор жертв, исследователи ESET пришли к выводу, что XDSpy не пересекается в своей деятельности ни с одной известной APT-группировкой.

«Мы считаем, что операторы могут работать в часовых поясах UTC+2 или UTC+3, то есть, примерно там же, где располагаются их жертвы. Мы также заметили, что они работают с понедельника по пятницу, что указывает на профессиональный характер их деятельности», — говорится в отчете ESET.

И снова о фишинге

Сам по себе процесс заражения начинается со спиэр-фишинговых (то есть, предельно узконаправленных) писем, содержащих архив ZIP или RAR или ссылку на внешний источник, откуда его предлагается скачать. Архив содержит файл LNK, который, в свою очередь, закачивает на целевую систему скрипт, устанавливающий XDDown. Этот компонент затем докачивает дополнительные модули с одного из контрольных серверов.

Среди выявленных модулей — программа XDRecon, предназначенная для сбора базовой информации о целевой системе, XDList — сборщик информации о файлах, которые могут интересовать злоумышленников (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab), XDMonitor — средство отслеживания и кражи файлов со съемных накопителей, XDUpload, инструмент для вывода фиксированного набора файлов из целевой системы, XDLoc — модуль для сбора идентификаторов SSID из сетевого окружения, и XDPass — модуль, крадущий пароли.

В июне 2020 г. было отмечено использование эксплойтов к уязвимости CVE-2020-0968, выявленной в InternetExplorer. Патчи к ней были доступны еще в апреле, при этом информации о самой уязвимости в открытом доступе было мало. Издание Bleeping Computer указывает, что о пробных эксплойтах на тот момент не было известно. В ESET предполагают, что используемый «боевой» эксплойт был либо написан с нуля самими операторами, либо приобретен у каких-то брокеров.

На вероятность второго варианта указывает определенное сходство этого эксплойта с теми, которыми пользовалась APT-группировка DarkHotel, притом, что других связей между XDSpy и DarkHotel не наблюдается. Возможно, впрочем, обе группировки пользовались услугами одного и того же брокера или разработчика эксплойтов.

«Тот факт, что XDSpy оставался незамеченным столь долгий срок, сегодня уже можно назвать необычным, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это связано, скорее всего, с тем, что его операторы использовали преимущественно (или исключительно) собственные разработки, а не чужой код. Не исключено, что выдали они себя в итоге именно тем, что начали заниматься массовыми рассылками вредоносов. Чем более узконаправленными оказываются атаки, тем меньше вероятность их обнаружения».