Група хакерів, яких підозрюють у роботі принаймні частково на російський уряд, націлилася на користувачів iPhone в Україні з новим набором інструментів для зламу, призначених для викрадення їхніх персональних даних, а також потенційного викрадення криптовалюти, повідомляють дослідники з кібербезпеки.
Дослідники з Google, а також компаній iVerify та Lookout проаналізували нові кібератаки на українців, які були запущені групою, ідентифікованою лише як UNC6353. Дослідники вивчили скомпрометовані веб-сайти в рамках хакерської кампанії, яка, за їхніми словами, пов’язана з тією, що була виявлена раніше цього місяця. Ця остання кампанія використовувала набір хакерських інструментів, який компанії назвали Darksword.
Виявлення Darksword після появи подібного інструментарію свідчить про те, що передові, непомітні та потужні програми-шпигуни для iPhone можуть бути не такими рідкісними, як вважалося раніше. Навіть тоді Darksword націлювався лише на користувачів в Україні, що свідчить про певну стриманість у тому, що інакше могло б бути масштабною хакерською кампанією проти користувачів у всьому світі.
На початку березня Google оприлюднив подробиці про витончений інструментарій для зламу iPhone під назвою Coruna. Пошуковий гігант повідомив, що цей інструмент спочатку використовував державний клієнт постачальника технологій стеження, потім — російські шпигуни проти українців, а згодом — китайські кіберзлочинці, які прагнули викрасти криптовалюту. Як пізніше розкрив TechCrunch, інструментарій був спочатку розроблений в американському оборонному підряднику L3Harris, зокрема у відділі хакерських технологій та стеження Trenchant.
За словами колишніх співробітників L3Harris, обізнаних з інструментами для зламу iPhone, Coruna спочатку призначався для використання західними урядами, особливо тими, що входять до так званого розвідувального альянсу “П’ять очей” (Five Eyes), який складається з Австралії, Канади, Нової Зеландії, США та Великої Британії.
Тепер дослідники повідомили, що виявили пов’язану кампанію з використанням новіших хакерських інструментів, які експлуатують інші вразливості.
За словами дослідників, інструментарій Darksword був створений для викрадення особистої інформації, такої як паролі, фотографії, повідомлення WhatsApp, Telegram та SMS, а також історії браузера. Цікаво, що Darksword не був призначений для постійного стеження, а радше для зараження жертв, викрадення інформації та швидкого зникнення.
“Час перебування Darksword на пристрої, ймовірно, становить від кількох хвилин, залежно від обсягу виявлених та вилучених даних”, — написали дослідники Lookout.
На думку Рокі Коула, співзасновника iVerify, найімовірніше пояснення полягає в тому, що хакери були зацікавлені у вивченні способу життя жертв, що не вимагало постійного спостереження, а скоріше операції за принципом “вдар і забери”.
Darksword також був розроблений для викрадення криптовалюти з популярних додатків-гаманців, що є незвичним для підозрюваної державної хакерської групи.
“Це може свідчити про те, що цей зловмисник має фінансову мотивацію, або ж про те, що ця (ймовірно) пов’язана з російською державою діяльність розширилася до фінансових крадіжок, націлених на мобільні пристрої”, — йдеться у звіті Lookout.
Але, як Коул повідомив TechCrunch, немає жодних доказів того, що російська хакерська група насправді була зацікавлена у викраденні криптовалюти — лише те, що шкідливе програмне забезпечення могло бути використане для цього.
За словами Lookout, шкідливе програмне забезпечення було професійно розроблено як модульне, що дозволяє легко додавати нові функції — це свідчить про професійний підхід до розробки. Коул висловив думку, що можливо, та сама особа, яка продала Coruna російській урядовій хакерській групі, також продала Darksword.
Щодо того, хто стоїть за Darksword, на думку Коула, “всі ознаки вказують на російський уряд”, тоді як Lookout заявляє, що це та сама група, яка використовувала Coruna проти українців, також підозрювана в роботі на російський уряд.
“UNC6353 — це добре фінансований та пов’язаний зовнішній суб’єкт, який здійснює атаки з метою фінансової вигоди та шпигунства відповідно до розвідувальних потреб Росії”, — повідомив TechCrunch Джастін Олбрехт, головний дослідник безпеки в Lookout. “Ми вважаємо, що можна стверджувати, що UNC6353, ймовірно, є російським кримінальним проксі, враховуючи подвійні цілі: фінансову крадіжку та збір розвідувальних даних”.
Що стосується жертв, Коул зазначив, що шкідливе програмне забезпечення було розроблене для зараження будь-кого, хто відвідував певні українські веб-сайти, за умови, що вони перебували в Україні, тож це не була особливо цілеспрямована кампанія.
Залишити відповідь