ESET ανακάλυψε APT που κρυβόταν 9 χρόνια


Η Σλοβακική εταιρεία ασφάλειας ESET ανακάλυψε μια νέα hacking ομάδα που χρηματοδοτείται από κάποιο κράτος (οι ομάδες αυτές είναι γνωστές και σαν APT). Με την ονομασία XDSpy, η ομάδα κατάφερε να παραμείνει απαρατήρητη για σχεδόν εννέα χρόνια πριν ανακαλυφθεί η δράση της.

Οι εργασίες της ομάδας παρουσιάστηκαν για πρώτη φορά σήμερα από ερευνητές της ESET σε μια ομιλία στο συνέδριο ασφαλείας Virus Bulletin 2020.

Η ESET ανέφερε ότι το βασικό ενδιαφέρον της ομάδας ήταν η αναγνώριση και η κλοπή εγγράφων. Στόχοι της ήταν κυβερνητικοί φορείς και ιδιωτικές εταιρείες στην Ανατολική Ευρώπη και τα Βαλκάνια.

Στις χώρες που στόχευαν ήταν η Λευκορωσία, η Μολδαβία, η Ρωσία, η Σερβία και η Ουκρανία, σύμφωνα με τα στοιχεία τηλεμετρίας της ESET, αλλά υπάρχουν κι άλλες λειτουργίες της XDSpy που δεν έχουν ανακαλυφθεί.

Η ESET αναφέρει ότι οι δραστηριότητες της ομάδας έχουν σταματήσει μετά από την ανίχνευση των δραστηριοτήτων της και μια λεπτομερή αναφορά ασφαλείας που στάλθηκε στην ομάδα CERT Belarus.

Χρησιμοποιώντας αυτήν την ειδοποίηση ασφαλείας σαν αρχική ένδειξη, η ESET μπόρεσε να αποκαλύψει τις προηγούμενες λειτουργίες της XDSpy. Ο Matthieu Faou και ο Francis Labelle, δύο ερευνητές ασφαλείας της ESET που ηγήθηκαν της έρευνας για την XDSpy, δήλωσαν ότι το κύριο εργαλείο της ομάδας ήταν ένα κιτ εργαλείων κακόβουλου λογισμικού που ονόμαζαν XDDown.

Το κακόβουλο λογισμικό, το οποίο περιγράφεται από τον Faou σαν “όχι τελευταίας τεχνολογίας”, μπορούσε να μολύνει τα θύματά του και να βοηθήσει την ομάδα να συλλέξει ευαίσθητα δεδομένα από τους μολυσμένους στόχους.

Η ESET περιγράφει το XDDown σαν “πρόγραμμα λήψης” που χρησιμοποιούνταν για τη μόλυνση ενός θύματος και στη συνέχεια για να κατεβάζει δευτερευόντα εργαλεία που εκτελούσαν διάφορες εξειδικευμένες εργασίες.

Ας δούμε τα εργαλεία που ανακάλυψε η ESET

XDREcon – εργαλείο για σάρωση ενός μολυσμένου κεντρικού υπολογιστή, συλλογή τεχνικών προδιαγραφών και λεπτομερειών λειτουργικού συστήματος και αποστολή των δεδομένων πίσω στον διακομιστή εντολών και ελέγχου του XDDown/XDSpy.
XDList – εργαλείο για αναζήτηση αρχείων με συγκεκριμένες επεκτάσεις αρχείων (αρχεία που σχετίζονται με Office, PDF και βιβλία διευθύνσεων).
XDMonitor – εργαλείο που παρακολουθεί το είδος των συσκευών που συνδέθηκαν σε έναν μολυσμένο κεντρικό υπολογιστή.
XDUpload – εργαλείο που ανεβάζει τα κλεμμένα αρχεία στον διακομιστή του XDXpy.
XDLoc – εργαλείο για τη συλλογή πληροφοριών από κοντινά δίκτυα WiFi, πληροφορίες που πιστεύεται ότι χρησιμοποιήθηκαν για την παρακολούθηση κινήσεων των θυμάτων χρησιμοποιώντας χάρτες δημόσιων δικτύων WiFi.
XDPass – εργαλείο που εξήγαγε κωδικούς πρόσβασης από τοπικά εγκατεστημένα προγράμματα περιήγησης.

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news