В Россию вернулась группировка хакеров XDSpy

Эксперты по информационной безопасности смогли отследить действия хакеров XDSpy, группировка специализируется на кибершпионаже. Целями хакеры выбрали госучреждения России, атаке подверглись структуры МИД. В министерстве сообщили об успешной блокировке атак. Потенциально ущерб от XDSpy может быть весьма серьезным — группировка известна атаками на государственные структуры и компании Восточной Европы. В марте XDSpy разослала фишинговые письма с вложениями.

«13 марта удалось обнаружить архив «Spisok No 658.zip» с двумя вредоносными файлами», — рассказал источник «Ъ». При открытии архива хакеры получали доступ к конфиденциальным данным на компьютере, оставаясь незамеченными.

И в «Лаборатории Касперского» рассылки зафиксировали 13 марта: «Одна утром, за первые четверо суток обнаружены сотни писем под видом важного списка с вредоносным ПО». Письма якобы от регуляторов, пояснил руководитель группы защиты Андрей Ковтун. Цель — шпионаж, кража документов и данных, доступ к рабочей почте. 

В МИД сообщили, что кибератаки локализованы штатной активной защитой и не получили распространения. IT-специалисты министерства ежедневно фиксируют многочисленные попытки кибернападений на системы.

«XDSpy — старая, но опасная группировка, — отметил ведущий специалист Дмитрий Купин. — Впервые ее обнаружил белорусский Центр CERT в 2020 году, хотя эксперты из компании ESET считают, что группа активна с 2011 года».

Большая часть целей группы в России — правительственные, финансовые и военные учреждения, энергетические, добывающие и исследовательские компании. Предыдущая кибератака XDSpy состоялась в октябре 2020 года. Группа старается собрать все документы и письма с зараженного компьютера, летом злоумышленники искали базы данных, зашифрованные коды паролей для идентификации на государственных сервисах, чтобы организовать взлом.

Ранее «Силовой Блок» сообщал о том, что «Маркер» оснастили «Корнетом».