Хакерска група, за която се предполага, че действа частично в интерес на руското правителство, е насочила атаки срещу потребители на iPhone в Украйна с нови инструменти за проникване и кражба на лични данни. Това сочи анализ на експерти по киберсигурност от Google, iVerify и Lookout.

Според тях атаките са извършени от група, обозначена като UNC6353, използвала нов хакерски пакет Darksword. Изследователите са анализирали компрометирани уебсайтове, свързани с кампания, която вероятно е свързана с друга операция, разкрита по-рано този месец.

Новото поколение iPhone инструменти за шпионаж

Откриването на Darksword и подобни инструменти показва, че усъвършенстваният шпионски софтуер за iPhone може да е по-разпространен от очакваното. Последната кампания обаче е била ограничена до потребители в Украйна, което подсказва сдържаност от страна на атакуващите, които биха могли да разширят операцията в глобален мащаб.

В началото на март Google разкри подробности за друг сложен инструмент за пробив в iPhone – Coruna. Според компанията той първоначално е използван от държавен клиент на фирма за наблюдение, след което е попаднал при руски шпиони, насочени към украински цели, а по-късно и при китайски киберпрестъпници, търсещи достъп до криптовалути.

По данни на TechCrunch този инструмент е разработен първоначално в американската отбранителна компания L3Harris, в подразделението ѝ за хакерски и наблюдателни технологии Trenchant. Бивши служители твърдят, че Coruna е била предназначена за западни правителства, включително страните от разузнавателния съюз Five Eyes: Австралия, Канада, Нова Зеландия, САЩ и Великобритания.

Любов, крипто и AI. Тъмният бизнес зад „работата“ на AI моделите

Какво може Darksword?

Новият инструмент Darksword използва различни уязвимости и е създаден да краде пароли, снимки, съобщения от WhatsApp и Telegram, SMS-и и история на търсене. За разлика от класическия шпионски софтуер той не е предназначен за дългосрочно наблюдение. Вместо това заразява устройството, извлича необходимата информация и бързо се премахва.

Изследователите от Lookout отбелязват, че зловредният код може да остане в устройството само няколко минути, в зависимост от обема на откритите данни.

Според Роки Коул, съосновател на iVerify, целта вероятно е била да се изгради профил на ежедневните навици на жертвите чрез операция тип „удари и изчезни“, без необходимост от постоянен контрол.

Криптовалути и финансов мотив

Любопитно е, че Darksword е разработен и за кражба на криптовалути от популярни мобилни портфейли, което е нетипично за група, свързвана с държавно спонсорирани атаки.

Анализаторите смятат, че това може да показва финансов мотив или разширяване на дейността към директни кражби от мобилни устройства. Коул уточнява, че няма доказателства за реален интерес към криптоактиви, а само че инструментът позволява подобна операция.

Зловредният код е разработен професионално и модулно, което улеснява добавянето на нови функции. Това подсказва сериозен ресурс и експертен капацитет зад създаването му. По думите на Коул е възможно един и същ доставчик да е продал както Coruna, така и Darksword на групи, свързани с Русия.

Идва ли краят на онлайн анонимността? Как AI разкрива самоличности в социалните мрежи

Кой стои зад атаките

Lookout посочва, че зад кампанията стои същата група, използвала Coruna срещу украински цели.

„UNC6353 е добре финансиран и свързан заплахов актьор, който извършва атаки както с цел финансови печалби, така и за шпионаж в съответствие с нуждите на руското разузнаване“, казва Джъстин Албрехт, старши изследовател по сигурността в Lookout.

Той допълва, че групата може да действа като криминален посредник, комбинирайки разузнавателни и финансови цели.

Експертите посочват, че зловредният код е бил предназначен да заразява всеки потребител, който посещава определени украински уебсайтове от територията на страната. Това показва, че кампанията не е била строго насочена към конкретни личности, а е имала потенциал за по-широко въздействие.