F.A.C.C.T. сообщила о хакерской атаке от имени МЧС России
Хакерская группа XDSpy атаковала российские организации от имени МЧС, сообщила компания F.A.C.C.T. (бывшая Group-IB в России), специализирующаяся на кибербезопасности.
Group-IB — международная компания в сфере кибербезопасности. Ее в 2003 году основали студенты кафедры информационной безопасности МГТУ им. Баумана. Компанию возглавил Илья Сачков, арестованный в 2021 году по делу о госизмене.
В апреле 2023 года местный менеджмент выкупил российский бизнес Group-IB — он стал работать под брендом F.A.C.C.T.
По информации центра кибербезопасности F.A.C.C.T., 11 июля мошенники провели фишинговую рассылку вредоносных писем, нацеленную на российские организации, «включая один из известных научно-исследовательских институтов». Письмо приходило якобы от МЧС. В тексте послания получателей просили посмотреть список сотрудников организации, которые «могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России». Мошенники угрожали, что в случае отсутствия ответа против работников будут приняты «юридические меры».
В файл, который рассылался вместе с письмом, была вшита вредоносная программа, собирающая «чувствительные данные и документы» с компьютера жертвы.
РБК направил запрос в пресс-службу МЧС России.
В начале октября 2022 года специализирующаяся на кибербезопасности компания «Лаборатория Касперского» сообщила, что злоумышленники начали распространять вредоносное ПО под видом повесток в рамках проходившей тогда в России частичной мобилизации. В рассылке подозревали XDSpy. «Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. <...> Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам», — объяснили специалисты «Лаборатории».
Впервые XDSpy обнаружил белорусский центр реагирования на компьютерные инциденты CERT в феврале 2020 года, отмечает F.A.C.C.T. «Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании», — говорится в сообщении организации. При этом неизвестно, в интересах какой страны работают мошенники этой группировки.
