Článek
„Je vzácné, aby skupina kybernetických útočníků zůstala tak dlouho neodhalená. Skupině se doposud dařilo unikat pozornosti veřejnosti, až do varování od běloruského CERT týmu,“ prohlásil Miroslav Dvořák, technický ředitel české pobočky Esetu.
CERT týmy mají na starosti analyzovat kybernetické incidenty a rychle na ně reagovat. V Česku takovýto vládní CERT spadá pod Národní úřad pro kybernetickou a informační bezpečnost.
Hackeři se ve velkém zaměřují na nezaměstnané
Bezpečnostní expert zdůraznil, že při analýze této hrozby pracovníci Esetu nenarazili na žádné části kódu, které by se podobaly jiným rodinám malwaru. „Ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by skupina, kterou označujeme jako XDSpy sdílela s jinou APT skupinou. Proto usuzujeme, že je XDSpy je zcela nová dosud neznámá skupina útočníků,“ podotkl Dvořák.
Operátoři XDSpy využívají ke kompromitaci svých obětí cílené phishingové e-maily. „Některé obsahovaly přílohu, jiné jen odkaz na nebezpečný soubor. První vrstva škodlivého souboru nebo přílohy byl obvykle ZIP nebo RAR archiv, který obsahoval LNK soubor stahující škodlivý skript. Ten pak stahoval a instaloval XDDown, hlavní malware této skupiny,“ přiblížil technickou stránku útoku Dvořák.
„Na konci června 2020 operátoři změnili taktiku a začali zneužívat chybu zabezpečení v aplikaci Internet Explorer označenou jako CVE-2020-0968. Přitom byla tato chyba opravena již v dubnu 2020. V příloze zpráv se tak namísto archivu začal objevovat dokument ve formátu RTF. Ten po svém otevření stáhl HTML soubor zneužívající zmíněnou zranitelnost v tomto prohlížeči,“ doplnil bezpečnostní expert.
Zneužívali situace okolo koronaviru
Přinejmenším dvakrát v letošním roce útočníci z této skupiny připravili e-maily, které zneužívaly situace okolo pandemie koronaviru. Podle dostupných informací nicméně nedošlo k úniku dat z České republiky. „Cíle skupiny XDSpy se nacházely ve východní a jihovýchodní Evropě. Šlo především o vládní subjekty, včetně armády, ministerstev zahraničních věcí, ale i soukromých společností,“ podotkl Dvořák.
„XDSpy klasifikujeme jako APT skupinu, tedy zločince, kteří se zaměřují na tvorbu pokročilých trvalých hrozeb. V praxi tyto skupiny stojí za kybernetickými útoky, jejichž cílem je dlouhodobě infiltrovat cílový systém a vytěžit strategické, utajované nebo neveřejné informace. Podobné útoky jsou nebezpečné právě kvůli tomu, jak pečlivě jsou připravované a jak pokročilé a adaptivní techniky využívají. APT skupiny se typicky zaměřují na státní úřady či jinak strategicky významné cíle,“ uzavřel bezpečnostní expert.