___

И еще один материал с конференции VB2020 с подачи ZDNet. ESET сделали доклад, в котором сообщили, что обнаружили прогосударственную APT, которая работала незамеченной на протяжении девяти лет. Словаки назвали ее XDSpy. Профиль - кибершпионаж. Основными целями XDSpy были государственные учреждения и частные компании России, Белоруссии, Украины, Молдовы и Сербии. Хакеры использовали набор авторских вредоносов, который получил название XDDown. В него входят дроппер и куча модулей, каждый из которых выполняет свой небольшой функционал. Это, вероятно, помогало обходить антивирусную защиту. Исследователи ESET охарактеризовали вредоносы XDSpy как не самые продвинутые, но их возможностей вполне хватало для выполнения стоящих перед хакерами задач. Подмеченной словаками особенностью XDDown оказался примат скрытности перед долгосрочным присутствием в скомпрометированной сети. Для этого вредоносы обладали такими функциями как самоудаление по определенному времени, а также отсутствие у многих модулей механизма сохранения после перезагрузки. ESET полагает, что отчасти благодаря такой заточенности вредоносов XDSpy удалось долго оставаться незамеченной. Впервые киберкампания XDSpy была замечена белорусским CERT в феврале этого года, после чего APT полностью прекратила использование XDDown и ушла в тень. А ESET , соответственно, именно с этого момента начали свое расследование. Судя по профилю деятельности, XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes . По крайней мере, метод работы "тiкай з городу" при первом же обнаружении хакерской деятельности очень похож на поведение APT Equation .