XDSpy

Pagaliau buvo atskleista šaškių grupės veikla, kuri bent nuo 2011 m. buvo pabėgusi iš infosec bendruomenės dėmesio. Tyrėjai pavadino nusikalstamą kolektyvą XDSpy ir mano, kad tai yra valstybės remiama APT (Advanced Persistent Threat). Pagrindinis XDSpy veiklos teatras yra Rytų Europa ir Balkanai, kurių tikslai – nuo privačių subjektų iki vyriausybinių organizacijų.

Pirmą kartą grupės operacijos buvo galutinai aptiktos, kai Baltarusijos kompiuterinių avarijų komanda paskelbė įspėjimą, kad tuomet neįvardytas įsilaužėlių kolektyvas bando rinkti duomenis iš šalies ministerijų. Be Baltarusijos, XDSpy taikėsi į subjektus, esančius Rusijoje, Moldovoje, Ukrainoje ir Serbijoje ir kt. Aukų yra daug skirtingų tipų – nuo korporacijų iki karinių ir diplomatinių subjektų. Saugumo tyrinėtojai pastebėjo, kad įsilaužėliai dirbo penkias dienas ir sinchronizavo savo veiksmus su aukų vietos laiko juosta.

XDSpy pasikliaukite pagrindiniais, bet efektyviais kenkėjiškų programų įrankiais

XDSpy naudojamas įrankių rinkinys turi mažai sudėtingų funkcijų, tačiau tai jokiu būdu nereiškia, kad jis nėra veiksmingas. Mėgstamiausias grupės atakos vektorius yra sukčiavimas, kai el. laiškai turi užnuodytus priedus. Paprastai tai yra archyvai, tokie kaip RAR arba ZIP failai, tačiau jie taip pat gali būti Powerpoint arba LNK failai. Kai kuriuose el. laiškuose buvo nuoroda į failą, kuriame yra kenkėjiškų programų grėsmė. Pats puolimas buvo suskirstytas į kelis etapus. Paleidus sugadintą failą iš el. laiško, vykdomas scenarijus, kuriam pavesta atsisiųsti pagrindinį naudingąjį krovinį, vadinamą XDDown. Sėkmingai įdiegus XDDown gali atsisakyti papildomų kenkėjiškų programų modulių, atsižvelgdama į konkrečius įsilaužėlių tikslus. Antrinėms naudingosioms apkrovoms suteikti pavadinimai yra XDREcon, XDList, XDMonitor, XDUpload, XDLoc ir XDPass.

Apskritai XDSpy naudojami įrankiai apėmė antianalizės metodus, tokius kaip eilučių užtemimas ir dinaminis Windows API bibliotekos įkėlimas. Pagrindinė jų veikla pažeistoje sistemoje buvo stebėti išimamus diskus, ekrano kopijas ir duomenų išfiltravimą.