Фахівці з кібербезпеки виявили, що група хакерів використовувала новітні інструменти для зламу iPhone з метою викрадення особистих даних українських користувачів. Додатково, існує ймовірність викрадення криптовалюти, що робить цю атаку ще більш небезпечною.
Дослідники з Google, iVerify та Lookout проаналізували нові кібератаки, спрямовані проти українців, які здійснювала група, відома під кодовою назвою UNC6353. Вони дослідили скомпрометовані вебсайти, які були частиною ширшої кампанії, про яку стало відомо раніше цього місяця. Ця остання кампанія використовувала набір інструментів для зламу, який компанії назвали Darksword.
Виявлення Darksword, що слідує за аналогічним інструментарієм, свідчить про те, що складні, приховані та потужні шпигунські програми для iPhone можуть бути більш поширеними, ніж вважалося раніше. Проте, Darksword націлювався лише на користувачів в Україні, що може вказувати на певні обмеження, порівняно з потенційно масштабною кампанією, яка могла б зачепити користувачів у всьому світі.
На початку березня Google опублікувала деталі про складний інструмент для зламу iPhone під назвою Coruna. Корпорація повідомила, що цей інструмент спочатку використовувався урядовим клієнтом постачальника технологій стеження, потім російськими шпигунами, що націлювалися на українців, а згодом і китайськими кіберзлочинцями, які прагнули викрасти криптовалюту. Як пізніше стало відомо, цей інструмент для зламу був розроблений американським оборонним підрядником L3Harris, зокрема його відділом розробки технологій зламу та стеження Trenchant.
Спочатку Coruna був розроблений для використання західними урядами, зокрема членами так званого “Альянсу п’яти очей”, що включає Австралію, Канаду, Нову Зеландію, Сполучені Штати та Велику Британію, згідно з інформацією від колишніх співробітників L3Harris, які мали доступ до інформації про інструменти компанії для зламу iPhone.
Тепер дослідники повідомили, що виявили пов’язану кампанію, яка використовує новітні інструменти для зламу, експлуатуючи різні вразливості.
Згідно з дослідниками, інструмент Darksword був створений для викрадення особистої інформації, такої як паролі, фотографії, повідомлення з WhatsApp, Telegram та SMS, а також історії браузера. Цікаво, що Darksword не був розроблений для постійного стеження, а скоріше для швидкого зараження жертв, викрадення інформації та миттєвого зникнення.
Darksword’s “час перебування на пристрої, ймовірно, вимірюється хвилинами, залежно від обсягу даних, які він виявить та викраде,” зазначили дослідники Lookout.
Для Рокі Коула, співзасновника iVerify, найімовірнішим поясненням є те, що хакерів цікавило вивчення моделі поведінки жертв, що не вимагало постійного спостереження, а радше швидкої операції з викрадення даних.
Darksword також був розроблений для викрадення криптовалюти з популярних гаманцевих додатків, що є нетиповим для групи, яка, ймовірно, пов’язана з урядовим хакінгом.
“Це може свідчити про те, що цей суб’єкт загрози фінансово мотивований, або, альтернативно, це може вказувати на те, що ця (ймовірно) проросійська діяльність розширилася до фінансових крадіжок, націлених на мобільні пристрої,” написала Lookout у своєму звіті.
Однак, Коул зазначив, що немає доказів того, що російська хакерська група дійсно переймалася викраденням криптовалюти, а лише те, що зловмисне програмне забезпечення могло бути використано для цієї мети.
Зловмисне програмне забезпечення було професійно розроблено як модульне, що полегшує додавання нової функціональності, що свідчить про його професійний дизайн, за даними Lookout. Коул вважає, що цілком можливо, що та сама особа, яка продала Coruna російській урядовій хакерській групі, продала і Darksword.
Щодо того, хто стоїть за Darksword, Коул заявив, що “всі ознаки вказують на російський уряд,” тоді як Lookout заявив, що це та сама група, яка використовувала Coruna проти українців, також, ймовірно, пов’язана з російським урядом.
“UNC6353 є добре фінансованим та пов’язаним суб’єктом загрози, який проводить атаки для фінансової вигоди та шпигунства відповідно до вимог російської розвідки,” сказав Джастін Албрехт, провідний дослідник безпеки в Lookout. “Ми вважаємо, що можна стверджувати, що UNC6363 є потенційним російським кримінальним проксі, враховуючи подвійні цілі фінансових крадіжок та збору розвідувальної інформації.”
Щодо жертв, Коул зазначив, що зловмисне програмне забезпечення було розроблено для зараження будь-кого, хто відвідував певні українські вебсайти, за умови, що вони відвідували їх з України, тому це не була особливо цілеспрямована кампанія.
