Исследователи в сфере кибербезопасности сообщили о новой волне атак на пользователей iPhone в Украине. По их данным, за ними стоит группа хакеров, частично связанная с российским правительством. Злоумышленники применяют обновленный набор инструментов, предназначенный для получения доступа к личной информации, а также, потенциально, для кражи криптовалюты. Об этом сообщают Dengi.ua со ссылкой на информацию TechCrunch.
Отмечается, что аналитики Google совместно со специалистами компаний iVerify и Lookout изучили серию кибератак, проведенных группировкой под названием UNC6353. Они проанализировали взломанные сайты, задействованные в кампании, которая, как утверждается, связана с ранее выявленными атаками. В новом этапе злоумышленники использовали инструмент под названием Darksword.
Читай также: Куда чаще всего бьют хакеры: названы самые уязвимые места IT-инфраструктуры
По мнению экспертов, появление Darksword после выявления других подобных средств взлома указывает на то, что мощное и скрытное шпионское ПО для iPhone может встречаться чаще, чем считалось ранее. При этом нынешняя кампания была ограничена территорией Украины, что говорит о сдержанном характере операции, которая потенциально могла бы иметь глобальный масштаб.
Ранее, в начале марта, Google раскрыла детали другого инструмента — Coruna. Сообщалось, что его сначала использовал государственный заказчик компании, специализирующейся на технологиях слежки, затем — российские спецслужбы против украинцев, а позже — китайские киберпреступники для кражи криптовалюты. Как выяснило TechCrunch, разработка этого инструмента велась в американской оборонной компании L3Harris, в подразделении Trenchant.
Бывшие сотрудники L3Harris утверждают, что изначально Coruna создавалась для западных правительств, в частности стран разведывательного альянса Five Eyes, куда входят Австралия, Канада, Новая Зеландия, США и Великобритания.
Позже специалисты обнаружили связанную кампанию, где применялись более современные инструменты и иные уязвимости. По их словам, Darksword предназначен для сбора конфиденциальных данных: паролей, фотографий, сообщений из WhatsApp, Telegram и SMS, а также истории браузера. При этом программа не рассчитана на длительное наблюдение — она быстро заражает устройство, извлекает информацию и исчезает.
«Время нахождения Darksword на устройстве, вероятно, составляет несколько минут, в зависимости от объема обнаруженных и извлеченных данных», — написали исследователи Lookout.
Сообщается, что соучредитель iVerify Рокки Коул считает, что целью атак могло быть изучение образа жизни жертв, что не требует постоянного слежения, а напоминает «операцию внезапного ограбления».
Также отмечается, что инструмент способен похищать криптовалюту из популярных кошельков — что необычно для групп, подозреваемых в деятельности в интересах государства.
«Это может указывать на то, что данный злоумышленник преследует финансовые мотивы, или же на то, что эта (вероятно) связанная с российским государством деятельность расширилась до финансовых краж, направленных на мобильные устройства», — говорится в отчете компании Lookout.
Однако, как отметил Коул в комментарии TechCrunch, прямых доказательств того, что хакеры действительно стремились украсть криптовалюту, нет — речь идет лишь о потенциальной возможности использования инструмента.
Эксперты Lookout подчеркивают высокий уровень разработки вредоносного ПО: оно имеет модульную структуру и позволяет легко добавлять новые функции. По мнению Коула, один и тот же посредник мог продать как Coruna, так и Darksword российской стороне.
Относительно происхождения атаки, Коул заявил, что «все признаки указывают на российское правительство». В Lookout также считают, что за Darksword стоит та же группа, которая ранее применяла Coruna против украинцев.
«UNC6353 — это хорошо финансируемый и имеющий обширные связи субъект угроз, осуществляющий атаки с целью получения финансовой выгоды и шпионажа в соответствии с требованиями российской разведки. Мы считаем, что можно предположить, что UNC6363 потенциально является российскими преступными ставленниками, учитывая двойные цели — финансовые кражи и сбор разведывательной информации», — заявил изданию представитель Lookout Джастин Альбрехт.
Что касается пострадавших, по словам Коула, вредоносная программа распространялась через определенные украинские сайты и могла заразить любого пользователя, находящегося на территории страны. Таким образом, атака не была точечной и могла затронуть широкий круг людей.
Dengi.ua ранее сообщали о том, что хакеры все активнее осваивают сегменты цифрового телевидения и наружных медиа.
Кроме того, как писали Dengi.ua, хакеры и искусственный интеллект протестировали на прочность одну из систем Минобороны Украины.