Analytici bezpečnostní společnosti ESET narazili na dosud neznámou hackerskou skupinu, která od roku 2011 kradla citlivé dokumenty z několika východoevropských států. Skupina, označena jako XDSpy, dokázala kompromitovat několik tamních vládních institucí i soukromých společností. Podle dostupných informací nedošlo k úniku dat z České republiky.
Skupina XDSpy operuje již od roku 2011. Podle odborníků je raritou, aby skupina kybernetických útočníků zůstala tak dlouho neodhalená. Doposud se jí tak dařilo unikat pozornosti, až do varování od běloruského CERT týmu (tým zaměřený na kybernetickou bezpečnost). V Česku tyto záležitosti spadají pod Národní úřad pro kybernetickou a informační bezpečnost.
„Při analýze této hrozby jsme nenašli žádné části kódu, které by se podobali jiným známým skupinám malware. Ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by tato skupina sdílela s jinou známou skupinou kybernetických útočníků.“ uvedl analytik společnosti ESET Matthieu Faou s tím, že právě proto jde nejspíš o dosud neznámou skupinu kyberzločinců.
Operátoři XDSpy využívají ke kompromitaci svých obětí cílené phishingové emaily. Některé obsahovaly přílohu, jiné jen odkaz na nebezpečný soubor. První vrstvu škodlivého souboru nebo přílohy tvořil obvykle ZIP nebo RAR archiv, který obsahoval LNK soubor stahující škodlivý skript. Ten poté stahoval a instaloval XDDown, hlavní malware této skupiny.
Zneužití situace kolem koronaviru
Miroslav Dvořák, technický ředitel české pobočky společnosti ESET, uvedl, že nejméně dvakrát v letošním roce útočníci z této skupiny připravili e-maily, které zneužívaly situace okolo pandemie koronaviru. Zaměřovali se přitom na běloruské či rusky hovořící cíle. Toto téma XDSpy prý zneužívá i nadále v probíhajících kampaních.
Na konci června 2020 operátoři změnili taktiku a začali zneužívat chybu zabezpečení v aplikaci Internet Explorer označenou jako CVE-2020-0968. Tato chyba přitom byla opravena již v dubnu 2020. V příloze zpráv se tak namísto archivu začal objevovat dokument ve formátu RTF. Ten po svém otevření stáhl HTML soubor zneužívající zmíněnou zranitelnost v tomto prohlížeči.
Obrana proti podobným hrozbám
Podle společnosti je ochrana proti podobným útokům složitá, nikoliv však nemožná. Takovéto skupiny jsou obvykle dobře financované a její členové jsou odborně zdatní. „Pokud se chcete ubránit, musíte na tom být finančně, znalostně i technologicky na podobné úrovni, jinak se vaše šance na úspěšnou obranu výrazně snižují.“ uvádí ESET. Důležité tak je používat správné bezpečnostní technologie, mít správně nastavené bezpečnostní procesy a důsledně dbát na vzdělávání zaměstnanců.
Dále čtěte:
Vláda chce zvýšit soudní poplatky až na dvojnásobek
Instagram slaví 10 let, dnes má přes miliardu uživatelů
Zdroj: ESET
