Fascynuje nas
technologia
 

05 października 2020

Od 9 lat wykradali rządowe sekrety – ESET zidentyfikował nową grupę cyberprzestępców

Badacze ESET wpadli na trop nowe grupy APT – XDSpy. Cyberprzestępcy od co najmniej 9 lat atakowali rządowe agencje oraz prywatne organizacje na terenie Europy Wschodniej i Bałkanów, a w ich repertuarze można znaleźć kilka zaawansowanych narzędzi.

Pierwsze publiczne informacje na temat grupy XDSpy i stosowanego przez nich złośliwego oprogramowania pojawiły się w lutym 2020 roku, kiedy białoruski CERT poinformował o zidentyfikowaniu kampanii z jej udziałem. Przestępcy wysyłali wiadomości phishingowe do swoich celów. Zachęcały one do pobrania załącznika, który następnie infekował komputer złośliwym oprogramowaniem. Za pomocą wirusa atakujący mogli następnie wykradać z zarażonej instytucji dokumenty zawierające poufne informacje.

W wyniku swojej analizy badacze ESET ustalili, że za przytoczone ataki nie odpowiada żadna z dotychczas rozpoznanych grup cyberprzestępców, a nieznana dotąd grupa APT, która pozostaje aktywna od co najmniej 2011 roku. Na swoje ofiary wybiera ona przede wszystkim cele z terenu Europy Wschodniej i Bałkanów, w tym w szczególności instytucje rządowe – m.in. o charakterze zbrojnym i ministerstwa spraw zagranicznych – oraz firmy prywatne.

Badacze ESET zwracają uwagę, że choć przez większość czasu przestępcy wykorzystują w swoich operacjach stosunkowo nieskomplikowane metody i narzędzia, rozsyłając do swoich ofiar archiwa ZIP zawierające złośliwe pliki LNK, tak odnotowany został incydent, kiedy grupa sięgnęła po własną wersję wykorzystania luki bezpieczeństwa w module przeglądarki Internet Explorer. Sugeruje to, że mają oni dostęp także do bardziej zaawansowanego zaplecza technicznego, co zwiększa zagrożenie z jej strony.

Więcej informacji na temat grupy XDSpy można znaleźć na blogu WeLiveSecurity: XDSpy: Stealing government secrets since 2011 (EN)

Autorem tekstu jest Arkadiusz Bała

Grzegorz Klocek
product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34