Пов'язані з Росією хакери атакують iPhone в Україні новим шпигунським ПЗ Darksword

Нові хакерські інструменти атакують iPhone-користувачів в Україні

Дослідники Google, iVerify та Lookout розкрили нову хакерську кампанію проти користувачів в Україні: угруповання UNC6353, підозрюване у зв'язках з російським урядом, використовує новий інструментарій Darksword для цільових атак на iPhone.

Darksword орієнтований на масове викрадення даних: паролів, фотографій, переписки у WhatsApp, Telegram та SMS, а також історії браузера. Принципова відмінність від класичного шпигунського ПЗ — відсутність постійного стеження. Інструментарій заражає пристрій, за лічені хвилини виносить усе цінне і зникає безслідно.

«Час перебування шкідливого ПЗ на пристрої, ймовірно, вимірюється хвилинами — залежно від обсягу виявлених і викрадених даних», — зазначили дослідники Lookout.

Рокки Коул, співзасновник iVerify, пояснює цей підхід логікою «вдарив і втік»: зловмисникам достатньо отримати зріз про спосіб життя жертви, не ризикуючи тривалою присутністю на пристрої.

Серед цілей Darksword — і популярні криптовалютні гаманці, що нетипово для угруповання з імовірними державними зв'язками. Lookout не виключає як фінансової мотивації хакерів, так і розширення розвідувальних операцій на крадіжки з мобільних пристроїв. Однак прямих доказів реального викрадення криптовалюти поки немає.

Нова кампанія пов'язана з більш ранньою — тією, що використовувала інструментарій Coruna. За даними TechCrunch, Coruna спочатку розробив підрозділ Trenchant американського оборонного підрядника L3Harris, після чого він потрапив до хакерів, пов'язаних з Росією, а згодом — до китайських кіберзлочинців. Коул допускає, що Darksword міг продати той самий посередник, який колись передав Coruna російському угрупованню.

«UNC6353 є добре фінансованим і впливовим загрозливим актором, що діє на перетині фінансових злочинів і шпигунства в інтересах російської розвідки», — заявив Джастін Альбрехт, провідний дослідник Lookout. За його словами, є підстави вважати UNC6353 кримінальним проксі Москви з подвійними цілями.

Шкідливе ПЗ заражало будь-якого відвідувача певних українських сайтів, якщо він заходив на них з України — кампанія не мала конкретних цілей і була розрахована на широку аудиторію.

Джерело: TechCrunch