XDSpy

Beidzot ir atklātas pārbaudītāju grupas aktivitātes, kas vismaz kopš 2011. gada ir izvairījušās no infosec kopienas uzmanības. Pētnieki nosauca noziedzīgo kolektīvu XDSpy, un viņi uzskata, ka tas ir valsts sponsorēts APT (Advanced Persistent Threat). XDSpy galvenais darbības lauks ir Austrumeiropa un Balkāni, un tā mērķi ir no privātām struktūrām līdz valdības organizācijām.

Pirmo reizi grupas darbība tika atklāta, kad Baltkrievijas datoru ārkārtas reaģēšanas komanda izplatīja brīdinājumu, ka tobrīd vārdā nenosauktais hakeru kolektīvs mēģina vākt datus no valsts ministrijām. Papildus Baltkrievijai XDSpy ir mērķējis uz organizācijām, kas cita starpā atrodas Krievijā, Moldovā, Ukrainā un Serbijā. Upuri uzrāda ievērojamu skaitu dažādu veidu, sākot no korporācijām līdz militārām un diplomātiskām struktūrām. Drošības pētnieki pamanīja, ka hakeri strādāja piecu dienu darba režīmā un sinhronizēja savas darbības ar upuru vietējo laika joslu.

XDSpy paļaujieties uz pamata, taču efektīviem ļaunprātīgas programmatūras rīkiem

XDSpy izmantotais rīku komplekts nerāda izsmalcinātu funkcionalitāti, taču tas nekādā gadījumā nenozīmē, ka tas nav efektīvs. Vēlamais grupas uzbrukuma vektors ir šķēpu pikšķerēšana, un e-pastiem ir saindēti pielikumi. Parasti tie ir arhīvi, piemēram, RAR vai ZIP faili, taču tie var būt arī Powerpoint vai LNK faili. Dažos e-pasta ziņojumos bija ietverta saite uz failu, kurā ir ļaunprātīgas programmatūras draudi. Pats uzbrukums tika sadalīts vairākos posmos. Palaižot bojāto failu no e-pasta, tiek izpildīts skripts, kura uzdevums ir lejupielādēt galveno slodzi, ko sauc par XDDown. Kad tas ir veiksmīgi instalēts, XDDown var atmest papildu ļaunprātīgas programmatūras moduļus atbilstoši hakeru konkrētajiem mērķiem. Sekundārajām kravām dotie nosaukumi ir XDREcon, XDList, XDMonitor, XDUpload, XDLoc un XDPass.

Kopumā XDSpy izmantotie rīki ietvēra pretanalīzes paņēmienus, piemēram, virkņu aptumšošanu un dinamisku Windows API bibliotēkas ielādi. Viņu galvenās darbības apdraudētajā sistēmā bija noņemamo disku, ekrānuzņēmumu un datu eksfiltrācijas uzraudzība.