Дослідники у сфері кібербезпеки повідомили про нову хвилю атак на користувачів iPhone в Україні. За їхніми даними, за ними стоїть група хакерів, частково пов'язана з російським урядом. Зловмисники застосовують оновлений набір інструментів, призначений для отримання доступу до особистої інформації, а також, потенційно, для крадіжки криптовалюти. Про це повідомляють Dengi.ua з посиланням на інформацію TechCrunch.
Зазначається, що аналітики Google спільно з фахівцями компаній iVerify і Lookout вивчили серію кібератак, проведених угрупованням під назвою UNC6353. Вони проаналізували зламані сайти, задіяні в кампанії, яка, як стверджується, пов'язана з раніше виявленими атаками. У новому етапі зловмисники використовували інструмент під назвою Darksword.
Читайте також: Куди найчастіше б'ють хакери: названо найвразливіші місця IT-інфраструктури
На думку експертів, поява Darksword після виявлення інших подібних засобів злому вказує на те, що потужне і потайне шпигунське ПЗ для iPhone може зустрічатися частіше, ніж вважалося раніше. При цьому нинішня кампанія була обмежена територією України, що свідчить про стриманий характер операції, яка потенційно могла б мати глобальний масштаб.
Раніше, на початку березня, Google розкрила деталі іншого інструменту - Coruna. Повідомлялося, що його спочатку використовував державний замовник компанії, що спеціалізується на технологіях стеження, потім - російські спецслужби проти українців, а пізніше - китайські кіберзлочинці для крадіжки криптовалюти. Як з'ясувало TechCrunch, розробка цього інструменту велася в американській оборонній компанії L3Harris, у підрозділі Trenchant.
Колишні співробітники L3Harris стверджують, що спочатку Coruna створювалася для західних урядів, зокрема країн розвідувального альянсу Five Eyes, до якого входять Австралія, Канада, Нова Зеландія, США і Великобританія.
Пізніше фахівці виявили пов'язану кампанію, де застосовувалися більш сучасні інструменти та інші вразливості. За їхніми словами, Darksword призначений для збору конфіденційних даних: паролів, фотографій, повідомлень із WhatsApp, Telegram і SMS, а також історії браузера. При цьому програма не розрахована на тривале спостереження - вона швидко заражає пристрій, витягує інформацію і зникає.
"Час знаходження Darksword на пристрої, ймовірно, становить кілька хвилин, залежно від обсягу виявлених і витягнутих даних", - написали дослідники Lookout.
Повідомляється, що співзасновник iVerify Роккі Коул вважає, що метою атак могло бути вивчення способу життя жертв, що не вимагає постійного стеження, а нагадує "операцію раптового пограбування".
Також зазначається, що інструмент здатний викрадати криптовалюту з популярних гаманців - що незвично для груп, підозрюваних у діяльності в інтересах держави.
"Це може вказувати на те, що цей зловмисник переслідує фінансові мотиви, або ж на те, що ця (ймовірно) пов'язана з російською державою діяльність розширилася до фінансових крадіжок, спрямованих на мобільні пристрої", - ідеться у звіті компанії Lookout.
Однак, як зазначив Коул у коментарі TechCrunch, прямих доказів того, що хакери дійсно прагнули вкрасти криптовалюту, немає - йдеться лише про потенційну можливість використання інструменту.
Експерти Lookout підкреслюють високий рівень розробки шкідливого ПЗ: воно має модульну структуру і дає змогу легко додавати нові функції. На думку Коула, один і той самий посередник міг продати як Coruna, так і Darksword російській стороні.
Щодо походження атаки, Коул заявив, що "всі ознаки вказують на російський уряд". У Lookout також вважають, що за Darksword стоїть та сама група, яка раніше застосовувала Coruna проти українців.
"UNC6353 - це добре фінансований суб'єкт загроз, який має великі зв'язки, здійснює атаки з метою отримання фінансової вигоди і шпигунства відповідно до вимог російської розвідки. Ми вважаємо, що можна припустити, що UNC6363 потенційно є російськими злочинними ставлениками, з огляду на подвійні цілі - фінансові крадіжки і збір розвідувальної інформації", - заявив виданню представник Lookout Джастін Альбрехт.
Що стосується постраждалих, за словами Коула, шкідлива програма поширювалася через певні українські сайти і могла заразити будь-якого користувача, який перебуває на території країни. Таким чином, атака не була точковою і могла зачепити широке коло людей.
Dengi.ua раніше повідомляли про те, що хакери все активніше освоюють сегменти цифрового телебачення і зовнішніх медіа.
Крім того, як писали Dengi.ua, хакери і штучний інтелект протестували на міцність одну із систем Міноборони України.