Grupa hakerska XDSpy atakuje cele rządowe w Europie Wschodniej, a jej działania ukierunkowane są na wykradanie danych wrażliwych – alarmują eksperci z firmy ESET zajmującej się cyberbezpieczeństwem. Według nich nowo wykryta grupa działa od min. dziewięciu lat.
Hakerzy działający w ramach grupy XDSpy mają prowadzić swoje operacje z tych samych stref czasowych, w których zlokalizowane są ich ofiary. Działania cyberprzestępców z tej formacji wyróżnia również to, że prowadzone są wyłącznie od poniedziałku do piątku – twierdzi ESET. Słowacka spółka z branży cyberbezpieczeństwa wskazuje, że wykryta przez specjalistów firmy grupa hakerska nie wykazuje podobieństw, jeśli chodzi o wykorzystywane techniki czy narzędzia, do żadnego innego rozpoznanego gangu cyberprzestępczego typu APT (Advanced Persistent Threat).
Zdaniem ekspertów czynności XDSpy koncentrują się wokół metod tzw. spearphishingu, czyli bardzo ukierunkowanych ataków mających na celu wyłudzenie danych do logowania w usługach teleinformatycznych. Wysyłane przez cyberprzestępców złośliwe e-maile mogą jednak zawierać oprócz szkodliwych linków również załączniki w formatach ZIP lub RAR, w których umieszczone są wirusy komputerowe. Badacze z ESETU uważają również, że grupa składa się z osób dysponujących zróżnicowanymi umiejętnościami, jeśli chodzi o haking.
Nieznana wcześniej grupa cyberprzestępcza została namierzona podczas kampanii cyberataków wykorzystujących podatność CVE-2020-0968 w czasie, kiedy bardzo niewiele było wiadomo na temat tej luki bezpieczeństwa pozwalającej na zdalne wykonanie kodu przez wadę silnika obsługującego skrypty w przeglądarce Internet Explorer. Według specjalistów z ESET XDSpy najprawdopodobniej zakupiła narzędzia pozwalające wykorzystać lukę na internetowym czarnym rynku, bądź też stworzyła je samodzielnie, inspirując się scenariuszami cyberataków bazujących na wykorzystaniu podobnych podatności prowadzonych w przeszłości przez innych cyberprzestępców.
ESET poinformował, że wśród celów grupy XDSpy znajdowały się m.in. instytucje rządowe oraz firmy zlokalizowane w krajach takich, jak Mołdawia, Serbia, Rosja czy Ukraina. Ataki ukierunkowane na tego rodzaju podmioty mają miejsce od 2011 roku. W lutym grupa zatakowała instytucje rządowe na Białorusi, we wrześniu tego roku natomiast jej aktywność wykryto podczas ataków skierowanych przeciwko „celom rosyjskojęzycznym” – twierdzi firma, która odmawia spekulacji na temat powiązań i tożsamości cyberprzestępców działających w ramach nowo wykrytego ugrupowania.
(PAP)
