Специалисты по информационной безопасности отследили опасные действия хакеров из группировки XDSpy, которая специализируется на кибершпионаже. Своими целями злоумышленники выбрали российские госучреждения, в том числе атаке подверглись структуры МИД России. В министерстве заявили, что атаки были успешно заблокированы. Потенциально ущерб от атак XDSpy может быть очень серьезным, признают эксперты. На какую страну работают эти хакеры, неизвестно.
Фото: Ирина Бужор, Коммерсантъ
Российские госучреждения подверглись атаке хакерской группировки XDSpy, известной целевыми атаками на госструктуры и частные компании Восточной Европы, рассказали «Ъ» собеседники на рынке кибербезопасности. В середине марта XDSpy разослала организациям фишинговые письма с вредоносными вложениями. Как утверждает один из собеседников «Ъ», целью новой атаки стали структуры российского МИДа. «13 марта был обнаружен архив под названием “Spisok_No_658.zip”, в котором хранятся два вредоносных файла»,— рассказывает он. После открытия архива жертвой хакеры могут получить доступ к конфиденциальным данным на зараженном компьютере, оставаясь при этом незамеченными.
В «Лаборатории Касперского» тоже зафиксировали вредоносные рассылки 13 марта: «Одна началась утром, только за первые четверо суток мы обнаружили несколько сотен писем, в которых под видом важного списка рассылается вредоносное ПО». Письма приходят якобы от регуляторов, рассказал руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун.
Цель атакующих — шпионаж, кража документов или данных для доступа к рабочей почте, утверждает эксперт. В каких организациях были зафиксированы атаки, в компании не уточнили.
В МИДе «Ъ» сообщили, что кибератаки на министерство в середине месяца были обнаружены и локализованы штатными средствами активной защиты и не получили дальнейшего распространения. В министерстве уточнили, что их IT-специалистами практически ежедневно фиксируются многочисленные попытки проведения различного рода «кибернападений на информационные системы».
«XDSpy — старая, но малоизученная и опасная группировка,— отмечает ведущий специалист по анализу вредоносного кода Group-IB Threat Intelligence Дмитрий Купин.— Впервые она была обнаружена белорусским CERT (Центр реагирования на инциденты информационной безопасности.— “Ъ”) в феврале 2020 года, хотя эксперты из международных компаний, например ESET, считают, что сама группа активна как минимум с 2011 года».
Несмотря на долгую историю XDSpy, расследователи киберперступлений как в России, так и в мире до сих пор не могут определить, в интересах какой страны работает эта группировка, признает собеседник «Ъ» на рынке кибербезопасности.
Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании, говорит господин Купин. Предыдущая масштабная кибератака XDSpy на территории России была зафиксирована в октябре 2020 года, тогда специалисты по кибербезопасности заметили сбор, шифровку и отправку данных компаний-жертв на серверы злоумышленников (см. «Ъ» от 5 октября 2020 года).
Масштаб ущерба при успешной атаке XDSpy может варьироваться от минимального до критичного, так как группа старается собрать все возможные документы и письма с зараженной машины, знает руководитель исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов.
Российские госучреждения массово подвергаются различным кибератакам с февраля прошлого года. Так, летом злоумышленники целенаправленно искали на теневых форумах базы данных, содержащие зашифрованные коды (хеш) паролей для идентификации на госсайтах и сервисах, чтобы в дальнейшем организовать их взлом (см. «Ъ» от 29 августа).