Центр кибербезопасности российского разработчика технологий для борьбы с киберпреступлениями F.A.C.C.T. 11 июля зафиксировал фишинговую рассылку вредоносных писем от имени МЧС. По данным центра, атаку провела хакерская группировка XDSpy, снова заработавшая в России в марте этого года.

В тексте письма получателей от имени МЧС просят загрузить файл — в нем содержится список сотрудников компании, которые предположительно «могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России». Отправители угрожают, что при отсутствии ответа против сотрудников примут юридические меры. Под видом файла Spisok_rabotnikov.pdf со списком случайных людей загружается вредоносная программа. Она собирает данные и документы с компьютеров.

Группировка XDSpy использовала такой метод хакерской атаки и ранее: в середине марта хакеры атаковали таким образом структуры МИД России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.

Группировку XDSpy, атакующую организации России и Беларуси, обнаружил белорусский центр CERT (Центр реагирования на инциденты информационной безопасности) в феврале 2020 года. Однако эксперты полагают, что эта группа действует как минимум с 2011 года, а ее члены находятся примерно там же, где и организации-жертвы.

При этом международные специалисты по киберугрозам так и не определились, на интересы какой страны работает группировка. По данным F.A.C.C.T., большая часть жертв этой группы находится в России: хакеры атакуют правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании.