XDSpy

Tarkastajaryhmän toiminta, joka on välttänyt infosekkiyhteisön huomion ainakin vuodesta 2011, on viimeinkin paljastettu. Tutkijat kutsuivat rikolliskollektiivia XDSpy: ksi, ja he uskovat, että se on valtion tukema APT (Advanced Persistent Threat). XDSpy: n päätoimipaikka on Itä-Eurooppa ja Balkan, jonka tavoitteet vaihtelevat yksityisistä yksiköistä valtion järjestöihin.

Ensimmäistä kertaa ryhmän toiminta havaittiin lopullisesti, kun Valkovenäjän tietokonepelastusryhmä julkaisi varoituksen, että silloinen nimeämätön hakkeriyhdistys yritti kerätä tietoja maan ministeriöistä. Valkovenäjän lisäksi XDSpy on kohdistanut yksiköitä muun muassa Venäjälle, Moldovaan, Ukrainaan ja Serbiaan. Uhreilla on huomattava määrä erilaisia tyyppejä, aina yrityksistä sotilaallisiin ja diplomaattisiin yksiköihin. Turvallisuustutkijat huomasivat, että hakkerit käyttivät viiden päivän työtapaa ja synkronoivat toimintansa uhrien paikalliseen aikavyöhykkeeseen.

XDSpy luottaa silti tehokkaisiin haittaohjelmatyökaluihin

XDSpy: n käyttämä työkalupakki näyttää vähän hienostuneelta toiminnallisuudeltaan, mutta se ei millään tavalla tarkoita, että se ei ole tehokas. Ryhmän ensisijainen hyökkäysvektori on keihäänpyynti, ja sähköpostit sisältävät myrkytettyjä liitteitä. Yleensä nämä ovat arkistoja, kuten RAR- tai ZIP-tiedostoja, mutta ne voivat myös olla Powerpoint- tai LNK-tiedostoja. Joissakin sähköposteissa oli linkki tiedostoon, joka sisältää haittaohjelmien uhkan. Itse hyökkäys jaettiin useisiin vaiheisiin. Vioittuneen tiedoston suorittaminen sähköpostista suorittaa komentosarjan, jonka tehtävänä on ladata tärkein hyötykuorma nimeltä XDDown. Kun asennus on onnistunut, XDDown voi pudottaa muita haittaohjelmamoduuleja hakkereiden erityistavoitteiden mukaisesti. Toissijaisille hyötykuormille annetut nimet ovat XDREcon, XDList, XDMonitor, XDUpload, XDLoc ja XDPass.

XDSpy: n käyttämät työkalut sisälsivät kokonaisuudessaan analyysin vastaisia tekniikoita, kuten merkkijonojen peittämisen ja dynaamisen Windows API -kirjastojen lataamisen. Heidän päätoimintansa vaarantuneessa järjestelmässä olivat siirrettävien asemien, kuvakaappausten ja tietojen suodattamisen tarkkailu.