XDSpy 黑客攻击俄罗斯军工公司

一个名为 XDSpy 的网络间谍组织最近以俄罗斯军工企业为目标。

XDSpy 被认为是一个国家控制的威胁组织，自 2011 年以来一直活跃，主要攻击东欧和巴尔干地区的国家。俄罗斯网络安全公司 FACCT 表示，在 11 月份的最新活动中，黑客试图访问一家俄罗斯冶金企业和一家参与导弹开发生产研究机构。

在本周早些时候发布的一份报告（https://habr.com/ru/companies/f_a_c_c_t/news/775944/）中，新加坡网络安全公司 Group IB 的分支机构 FACCT 表示，黑客伪装成专门从事核武器设计的研究机构，向受害者发送网络钓鱼电子邮件。

该组织的策略与之前对俄罗斯公司的攻击（https://habr.com/ru/companies/f_a_c_c_t/news/747540/）如出一辙，其中包括 7 月份针对一家知名研究机构的攻击。在那次事件中，黑客冒充俄罗斯紧急情况部，发送包含恶意 PDF 附件的网络钓鱼信件。研究人员没有透露黑客是否成功渗透系统并窃取数据。

FACCT 声称俄罗斯是 XDSpy 黑客的首要目标。研究人员表示，该组织此前曾针对该国政府、军队和金融机构，以及能源、研究和采矿公司。

尽管该组织已活跃多年，但其对俄罗斯发动攻击的证据有限，特别是考虑到许多外国网络安全公司在俄罗斯入侵乌克兰后撤离了该国。

总部位于斯洛伐克的网络安全公司 ESET自 2020 年以来一直在监控 XDSpy 的活动，研究员 Matthieu Faou 告诉 Recorded Future News，该组织持续开展鱼叉式网络钓鱼活动，主要针对东欧的战略组织。

在退出俄罗斯和白俄罗斯（XDSpy 的两个目标）后，ESET 失去了对这些国家发生的网络攻击的第一手资料。然而，该公司上周表示，它发现该组织对一家乌克兰航空航天公司进行了攻击。

在这次攻击中，乌克兰安全机构没有公开报告，并且很可能不成功，黑客使用了与 FACCT 描述的几乎相同的攻击链。“我们确实同意他们的分析，并将其归因于 XDSpy。”Faou 说。

尽管该组织历史悠久，但研究人员一直无法确定支持该组织的国家。Faou 表示，XDSpy 并不运行特别复杂的工具包，但“它们具有非常不错的运行安全性”。“到目前为止，我们还没有发现任何可能指向特定国家的证据。”

“他们投入了大量精力来混淆植入程序，以试图逃避安全解决方案。因此，即使我们能够长期跟踪他们的运营，他们也可能取得了相当大的成功率。”他补充道。

鉴于许多西方公司对该地区计算机系统的了解有限，有关针对俄罗斯的网络攻击的报道很少。

然而，本周有大量来自俄罗斯网络安全公司的报告。除了 XDSpy 的攻击之外，FACCT 还记录了使用DarkWatchman 恶意软件对俄罗斯银行、电信运营商、物流和科技公司进行的网络攻击。黑客将网络钓鱼电子邮件伪装成俄罗斯快递服务公司的时事通讯。这些攻击的结果尚不清楚。

据俄罗斯网络安全公司Positive Technologies称，另一次网络攻击是由一个新的黑客组织Hellhounds发起的，该公司已受到美国制裁，该组织已损害了至少20个俄罗斯组织，包括政府机构、科技公司以及太空和能源企业。

网络安全公司 BI.ZONE 还记录了Rare Wolf 黑客进行的攻击。研究人员表示，自 2019 年以来，该组织已攻击了近 400 家俄罗斯公司。

这些报告没有透露哪些国家是针对俄罗斯的袭击的幕后黑手。

参考链接：https://therecord.media/xdspy-hackers-target-russian-military-industrial-companies

讲述普通人能听懂的安全故事