Эксперты компании BitDefender обнаружили Mac-версию вредоносного программного обеспечения, используемого хакерской группировкой APT 28, также известной как Fancy Bear, Pawn Storm, Sednit, Sofacy и Tsar Team. Троян похищает с компьютера пароли, скриншоты и резервные копии iPhone.

Многие связывают группировку APT 28 с правительством России. Эксперты Bitdefender уверены в причастности к кибератакам на европейские государственные организации и предприятия оборонной промышленности. И именно этой группировке приписывается взлом Национального комитета Демократической партии США, имевший место летом прошлого года.

По мнению исследователей, хакеры разработали эксклюзивное вредоносное ПО Xagent, использующееся исключительно в ее кампаниях по кибершпионажу. Ранее эксперты сталкивались с версиями Xagent для Windows, Linux, iOS и Android. Теперь же специалисты BitDefender сообщили о варианте вредоноса для macOS. При каких обстоятельствах был обнаружен вредонос, неизвестно.

«Операторы APT 28 расширили игру – полезная нагрузка X-Agent теперь может атаковать пользователей Mac, перехватывать пароли, делать снимки экрана и похищать хранящиеся на компьютере резервные копии iPhone», – сообщили эксперты.

Как сообщает Securitylab, Xagent представляет собой модульный бэкдор, загружающийся на компьютеры жертв с помощью дроппера Komplex. Вредонос способен докачивать на инфицированный компьютер дополнительные модули, а также собирать информацию о его аппаратном и программном обеспечении.

Ранее эксперты Bitdefender пришли к выводу, что участники группировки, создавшей Xagent, являются «либо российскими гражданами, либо гражданами соседних государств, разговаривающими на русском языке». В пользу данной теории свидетельствует наличие русских слов в коде используемых хакерами инструментов.

По данным исследователей, большая часть информации была похищена хакерами в рабочие часы в соответствии с часовым поясом, Азербайджана, Грузии и части России (GMT +4). Согласно отчету, Россия является единственной из трех стран, имеющей все необходимые возможности и ресурсы для осуществления подобных атак. Целями APT 28, как правило, являются государства, входящие в круг интересов российского правительства.