XDSpy

פעילותה של קבוצת בודק שחמקה מתשומת ליבה של קהילת ה-infosec מאז 2011 לפחות, הוצגה סוף סוף. החוקרים קראו לקולקטיב הפושעים XDSpy, והם מאמינים כי מדובר ב-APT (Advanced Persistent Threat) בחסות המדינה. מרכז הפעילות העיקרי של XDSpy הוא מזרח אירופה והבלקן, כשהמטרות שלו נעות מגופים פרטיים ועד ארגונים ממשלתיים.

הפעם הראשונה שבה פעולות הקבוצה זוהו באופן סופי הייתה כאשר צוות חירום המחשבים הבלארוסי פרסם אזהרה כי קולקטיב ההאקרים ללא שם מנסה לאסוף נתונים ממשרדים במדינה. מלבד בלארוס, XDSpy פנתה לגורמים הממוקמים בין היתר ברוסיה, מולדובה, אוקראינה וסרביה. הקורבנות מציגים מספר לא מבוטל של סוגים שונים, החל מתאגידים ועד לגורמים צבאיים ודיפלומטיים. חוקרי אבטחה שמו לב שההאקרים פעלו בשיטת עבודה של חמישה ימים וסינכרו את פעולותיהם לאזור הזמן המקומי של הקורבנות.

XDSpy הסתמכו על כלים בסיסיים אך יעילים של תוכנות זדוניות

ערכת הכלים המופעלת על ידי XDSpy מציגה מעט במונחים של פונקציונליות מתוחכמת, אבל זה בשום אופן לא אומר שהיא לא יעילה. וקטור ההתקפה המועדף על הקבוצה הוא דיוג בחנית, עם מיילים הנושאים קבצים מצורפים מורעלים. בדרך כלל, אלו הם ארכיונים כגון קבצי RAR או ZIP, אך הם יכולים להיות גם קבצי Powerpoint או LNK. כמה הודעות דוא"ל כללו קישור לקובץ הנושא את איום התוכנה הזדונית. ההתקפה עצמה חולקה למספר שלבים. הפעלת הקובץ הפגום מהמייל מפעילה סקריפט שהוטל עליו להוריד את המטען הראשי בשם XDDown. לאחר התקנתו בהצלחה, XDDown יכול להוריד מודולים נוספים של תוכנות זדוניות בהתאם למטרות הספציפיות של ההאקרים. השמות שניתנו למטענים המשניים הם XDREcon, XDList, XDMonitor, XDUpload, XDLoc ו-XDPass.

ככלל, הכלים שבהם השתמש XDSpy כללו טכניקות אנטי-אנליזה כגון ערפול מחרוזות וטעינת ספריית API דינמית של Windows. הפעילויות העיקריות שלהם במערכת שנפגעה היו ניטור כוננים נשלפים, צילום מסך וחילוץ נתונים.