Analytici bezpečnostní společnosti ESET odhalili hackerskou skupinu, která se od roku 2011 zaměřovala na zcizování citlivých dokumentů z několika východoevropských států. Skupina je označena jako XDSpy. Útočníci dokázali kompromitovat řadu tamních vládních institucí i soukromých společností. Podle dostupných informací nedošlo k úniku dat z České republiky.

Skupina XDSpy operuje od roku 2011. Je vzácné, aby skupina kybernetických útočníků zůstala tak dlouho neodhalená. Skupině se doposud dařilo unikat pozornosti veřejnosti, až do varování od běloruského CERT týmu (tým zaměřený na rychlou reakci na kybernetické incidenty) z února 2020. V Česku takovýto vládní CERT spadá pod Národní úřad pro kybernetickou a informační bezpečnost.

„Při analýze této hrozby jsme nenarazili na žádné části kódu, které by se podobaly jiným rodinám malware, ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by skupina, kterou označujeme jako XDSpy sdílela s jinou APT skupinou. Proto usuzujeme, že je XDSpy je zcela nová dosud neznámá skupina útočníků,“ uzavírá Dvořák.

Skupina i nadále zneužívá strach z koronaviru

Operátoři XDSpy využívají ke kompromitaci svých obětí cílené phishingové e-maily. Některé obsahovaly přílohu, jiné jen odkaz na nebezpečný soubor. První vrstva škodlivého souboru nebo přílohy byl obvykle ZIP nebo RAR archiv, který obsahoval LNK soubor stahující škodlivý skript. Ten pak stahoval a instaloval XDDown, hlavní malware této skupiny. Na konci června 2020 operátoři změnili taktiku a začali zneužívat chybu zabezpečení v aplikaci Internet Explorer označenou jako CVE-2020-0968. Přitom byla tato chyba opravena již v dubnu 2020. V příloze zpráv se tak namísto archivu začal objevovat dokument ve formátu RTF. Ten po svém otevření stáhl HTML soubor zneužívající zmíněnou zranitelnost v tomto prohlížeči.

„Při nejmenším dvakrát v letošním roce útočníci z této skupiny připravili e-maily, které zneužívaly situace okolo pandemie koronaviru. A toto téma XDSpy zneužívá i nadále v probíhajících kampaních,“ dodává Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Pokročilé útoky se nevyhýbají ani ČR

„XDSpy klasifikujeme jako APT skupinu, tedy zločince, kteří se zaměřují na tvorbu pokročilých trvalých hrozeb. V praxi tyto skupiny stojí za kybernetickými útoky, jejichž cílem je dlouhodobě infiltrovat cílový systém a vytěžit strategické, utajované nebo neveřejné informace. Podobné útoky jsou nebezpečné právě kvůli tomu, jak pečlivě jsou připravované a jak pokročilé a adaptivní techniky využívají. APT skupiny se typicky zaměřují na státní úřady či jinak strategicky významné cíle,“ popisuje Dvořák.

Cíle skupiny XDSpy se nacházely ve východní a jihovýchodní Evropě. Šlo především o vládní subjekty, včetně armády, ministerstev zahraničních věcí, ale i soukromých společností.Mapa obětí APT skupiny XDSpy

Přehled známých obětí skupiny XDSpy | Zdroj: telemetrická data ESET

Podobné útoky se nevyhýbají ani České republice. Jednou z celosvětově nejznámějších APT skupin je Sednit (známá také jako Sofacy), která v roce 2018 dokázala kompromitovat soukromé e-maily příslušníků Armády České republiky. V roce 2017 odhalila BIS další ATP skupinu Turla, která měla nejméně rok přístup k 150 e-mailovým schránkám pracovníků Ministerstva zahraničí České republiky.

Obrana proti APT hrozbám

Podle expertů je obrana proti podobným útokům složitá, nikoliv však nemožná.

„Podobné zločinecké skupiny jsou velmi dobře financované a členové skupiny mají vynikající odborné znalosti. Pokud se chcete ubránit, musíte na tom být finančně, znalostně i technologicky na podobné úrovni, jinak se vaše šance na úspěšnou obranu výrazně snižují“ popisuje problémy Dvořák.

Důležité tak je používat správné bezpečnostní technologie, mít správně nastavené bezpečnostní procesy a důsledně dbát na vzdělávání zaměstnanců. Například skupina XDSpy útočila prostřednictvím podvodných e-mailů, před těmi se dá přitom velice dobře chránit kombinací technických a vzdělávacích opatření. Sadu ukázek a doporučení týkajících se cílených phishingových útoků vydal Národní úřad pro kybernetickou a informační bezpečnost na jaře tohoto roku.

Uživatelé produktů pro ochrany koncových stanic ESET jsou proti malware skupiny XDSpy chráněni.

Technické detaily o spyware skupiny XDSpy najdete v magazínu WeLiveSecurity.com.