Компании в сфере кибербезопасности сообщили об активности в России недавно обнаруженной хакерской группировки XDSру, сообщил в понедельник «Коммерсант».

Так, за 2019–2020 гг. экспертный центр безопасности Positive Technologies заметил четыре атаки XDSру на промышленные предприятия и организации государственного сектора РФ. По данным ведущего специалиста группы исследования угроз Positive Technologies Дениса Кувшинова, атаки были успешными, поскольку изученные образцы вредоносного программного обеспечения подтверждали сбор, шлифовку и отправку данных на серверы злоумышленников.

Исследователи словацкой компании ESET сообщили об обнаружении XDSpy 2 октября на конференции по кибербезопасности Virus Bulletin 2020. По их информации, группировке удавалось остаться незамеченной с 2011 г. Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, загрузка которых заражает жертву вредоносными программами.

Жертвы XDSpy находятся преимущественно в России, меньшая их часть – в Белоруссии, уточнил эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Одиночные жертвы были обнаружены и в Азиатско-Тихоокеанском регионе.

В ESET предполагают, что XDSpy занимается шпионажем и собирает разведданные для иностранного правительства. В компании не сказали, какое именно правительство может стоять за группировкой, но заметили, что многие образцы вредоносных программ XDSpy составлены в восточноевропейских часовых поясах.

Основываясь на информации о тактиках, техниках и процедурах, а также артефактах в коде ВПО, работники «Лаборатории Касперского» допускают, что авторы кода хорошо владеют русским языком.

По мнению руководителя отдела исследования сложных угроз Group-IB Анастасии Тихоновой, хакеры могли действовать с целью дальнейшей продажи полученных доступов к корпоративным и государственным сетям. Серьезные прогосударственные хакерские группы якобы могли воспользоваться ими. В частности, для шпионажа или кибердиверсий.