Група кіберзловмисників, яка, ймовірно, пов’язана з російськими державними структурами, здійснила серію атак на користувачів iPhone в Україні. Для цього застосовувався новий набір інструментів, призначений для викрадення персональних даних. Про це повідомляють дослідники у сфері кібербезпеки.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
Фахівці Google разом з компаніями iVerify та Lookout проаналізували нову хвилю атак, спрямованих проти українців. За їхніми даними, за операцією стоїть група під умовною назвою UNC6353. Експерти досліджували скомпрометовані вебсайти, які використовувалися в цій кампанії, і вважають, що вона пов’язана з іншою атакою, виявленою раніше цього місяця. У новому випадку застосовувався інструментарій, який отримав назву Darksword.
Виявлення Darksword, а також раніше знайденого подібного набору інструментів, свідчить про те, що складне, малопомітне та потужне шпигунське ПЗ для iPhone може бути більш поширеним, ніж вважалося раніше. Водночас ця кампанія була спрямована виключно на користувачів в Україні, що може свідчити про обмежений характер її застосування.
На початку березня Google вже розкрила деталі іншого складного інструмента для злому iPhone – Coruna. За даними компанії, його спочатку використовував державний клієнт постачальника технологій стеження, згодом – російські спецслужби проти українців, а пізніше – китайські кіберзлочинці для викрадення криптовалюти. Як повідомляв TechCrunch, цей інструмент був розроблений у межах американського оборонного підрядника L3Harris, зокрема його підрозділом Trenchant, який спеціалізується на хакінгу та технологіях спостереження.
Спочатку Coruna призначалася для використання західними урядами, зокрема країнами альянсу Five Eyes, до якого входять Австралія, Канада, Нова Зеландія, США та Велика Британія.
Нині дослідники виявили нову кампанію, що використовує більш сучасні інструменти, які експлуатують інші вразливості. За їхніми словами, Darksword призначений для збору конфіденційної інформації, включно з паролями, фотографіями, повідомленнями з WhatsApp, Telegram і SMS, а також історією переглядів у браузері. Особливістю інструмента є те, що він не призначений для тривалого стеження. Він швидко заражає пристрій, збирає дані та зникає. За оцінками Lookout, час перебування Darksword на пристрої становить лише кілька хвилин і залежить від обсягу зібраної інформації.
Співзасновник iVerify Рокі Коул вважає, що основною метою зловмисників було отримання інформації про повсякденну активність жертв, що не потребує постійного моніторингу. Також Darksword має функціональність для викрадення криптовалюти з популярних гаманців, що є нетиповим для інструментів, які пов’язують із державними структурами. У Lookout припускають, що це може свідчити або про фінансову мотивацію, або про розширення діяльності, пов’язаної з російськими спецслужбами, у напрямку фінансових злочинів.
Інструмент створений на високому професійному рівні: він має модульну структуру, що дозволяє легко додавати нові функції. Це, за словами дослідників, свідчить про серйозні ресурси, вкладені в його розробку. Коул також припускає, що той самий розробник, який продав Coruna російській хакерській групі, міг бути причетний і до створення Darksword.
Щодо походження інструмента, експерти сходяться на думці, що всі ознаки вказують на зв’язок із російськими структурами. У Lookout вважають, що за атакою стоїть та сама група, яка раніше використовувала Coruna проти українців. Дослідник компанії Джастін Альбрехт зазначив, що група UNC6353 має значне фінансування та зв’язки й здійснює атаки як із метою шпигунства, так і для отримання прибутку відповідно до інтересів російської розвідки.
Читайте також:
- Український симулятор Remote Reaper: FPV Drone отримав масштабне оновлення – що змінилося
- Middle Strike по Донеччині: Україна уразила базу засекреченого російського центру «Рубікон»