Фишинговую рассылку вредоносных писем 11 июля 2023 г. обнаружили специалисты компании F.A.C.C.T., специализирующейся на предотвращении кибератак и борьбы с мошенничеством.
Атака шла на несколько российских организаций. В тексте письма злоумышленники просили получателей посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожали, что в случае отсутствия ответа против сотрудников будут приняты юридические меры.
Каждое письмо содержало вложение с файлом "Spisok_rabotnikov.pdf", в котором был список случайных людей. При его открытии загружалась вредоносная программа, которая собирала данные с компьютера жертвы.
Хакерская группа XDSpy пользовалась подобными техниками и раньше. В середине марта 2023 г. кибершпионы атаковали структуры министерства иностранных дел (МИД) России, а в октябре 2022 г. - российские организации с фейковыми повестками от имени Минобороны.
Впервые группу XDSpy, атакующую организации России и Беларуси, обнаружил белорусский центр реагирования на компьютерные инциденты (CERT) в феврале 2020 г., хотя эксперты считают, что сама группа ведет активность как минимум с 2011 г. Несмотря на долгую историю XDSpy, международные специалисты так и не определились, в интересах какой страны работает эта группировка. Большинство целей группы находятся в России. Это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании.
Руководитель центра кибербезопасности F.A.C.C.T. Ярослав Каргалев поделился соображениями по поводу кибератаки: "На данный момент зафиксированы атаки на компании промышленного сектора России и отдельный научно-исследовательский центр. Раскрыть конкретные организации мы не можем. Однако, велика вероятность, что атаки продолжатся, учитывая, что XDSpy регулярно заявляет о себе. Хоть на данный момент и неизвестно, в чьих интересах работает данная преступная группа, существует общая особенность деятельности подобных шпионских кампаний - они будут продолжать проводить атаки на выбранные цели или отрасль. То есть это не простая веерная рассылка вредоносного ПО, а заранее спланированная атака с конкретной задачей - овладеть интересующей их информацией".
Директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский предположил, какие цели могли преследовать хакеры: "Мошенники всегда используют любой инфоповод в корыстных целях. Не стала исключением и текущая ситуация, связанная с СВО. Цель злоумышленников в этом случае вынудить пользователя принять быстрое, необдуманное, импульсивное решение и открыть зараженный файл, приложенный к письму, или перейти на фишинговый сайт. Конечная цель - получить доступ к конфиденциальной, чувствительной информации и персональным данным пользователей. В настоящий момент компаниям необходимо уделять больше внимания и выделять ресурсы для обучения персонала механизмам адекватного реагирования на подобные письма или звонки, проводить регулярные тестирования сотрудников. Сегодня более 50% успешных кибератак так или иначе происходят с использованием человеческого фактора и социальной инженерии, поэтому очень важно на регулярной основе проводить мероприятия по повышению осведомленности персонала в базовых принципах информационной безопасности".
Директор центра экспертизы компании-разработчика систем кибербезопасности R-Vision Григорий Ревенко оценил атаку как плохо спланированный фишинг. "Почтовый домен отправителя находится в зоне by, в то же время киберпреступники пишут от лица российских государственных структур. Поэтому в данном случае, чтобы понять, что входящее письмо – обман, достаточно просто руководствоваться здравым смыслом. Чтобы защититься от подобных атак организациям в первую очередь нужно позаботиться об использовании надежных средств защиты, настроить антиспам и провести обучение для сотрудников. Кроме этого, в практиках ИБ есть отдельный домен, направленный на противодействие такого рода атакам - домен повышения осведомленности. В рамках него описаны лучшие практики: проведение обучений и тренингов специалистов с периодическими тренировками", - рассказал Григорий Ревенко.
Технический директор компании, специализирующейся на защите корпоративной информации, ITprotect Максим Головлев объяснил, как обезопасить компанию от последствий хакерской атаки: "Поскольку мы не видели исходного оригинала письма и вложения, мы не можем проанализировать его содержимое. Но в любом случае я бы рекомендовал заблокировать домен, с которого осуществлялась рассылка, и провести полное сканирование конечных устройств, на которые она пришла, а затем удалить содержимое со всех устройств и почтового сервера. В целом нужно критически относиться к любым письмам и сообщениям, которые вы получаете, внимательно изучая текст и домены, а также не открывать вложения и не переходить по ссылке".
Павел Королев