Działanie grupy – przeprowadzającej zaawansowane technicznie ataki typy APT (Advanced Persistent Threat) - zostało po raz pierwszy szczegółowo opisane pod koniec zeszłego tygodnia przez naukowców z firmy ESET, które podali taką informację na poświęconej bezpieczeństwu konferencji Virus Bulletin 2020.

Okazuje się, że grupa zajmowała się głównie kradzieżą poufnych dokumentów będących we władaniu instytucji rządowych działających w krajach Europie Wschodniej oraz na Bałkanach. Informatycy ustalili, że były to a pewno takie kraje jak Białoruś, Mołdawia, Rosja, Serbia i Ukraina, chociaż twierdzą iż jest wysoce prawdopodobne, że dalsze badania poszerzą te listę o kolejne kraje leżące w tym regionie.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Jak dotąd ustalono, że hakerzy atakowali systemy IT przy pomocy zestawu narzędzi zawierających różnego rodzaju szkodliwe programy, któremu informatycy nadali nazwę XDDown. Udało się już ustalić, że nie jest to jak to określono „najnowocześniejszy” malware, jednak został dobrze zakamuflowany (o czym świadczy fakt, że przez tyle lat nie został wykryty) i działa na tyle skutecznie, że może wykradać z atakowanych systemów IT wrażliwe dane.

Malware XDDown instaluje najpierw na atakowanym systemie tzw. „downloader”, który pobiera ze skonfigurowanych przez hakerów serwerów dodatkowe moduły, które przystępują wtedy do właściwego ataku wykonując różne zadania. Zarówno „downloader” jak i moduły zostały tak zaprojektowane, że standardowe mechanizmy bezpieczeństwa chroniące systemy IT przez poczynaniami hakerów nie identyfikowały ich jako malware.

ESET bada cały czas działanie grupy XDSpy i można się spodziewać, że wkrótce opublikuje kolejne materiały opisujące jej poczynania.