Eine Hackergruppe, die stark im Verdacht steht, Verbindungen zur russischen Regierung zu haben, hat iPhone-Benutzer in der Ukraine aktiv mit hochentwickelten neuen Tools ausgenutzt, die darauf ausgelegt sind, persönliche Daten und möglicherweise Kryptowährungen zu stehlen. Cybersicherheitsforscher von Google, iVerify und Lookout haben die Kampagne identifiziert, mit einer zuvor aufgedeckten Operation in Verbindung gebracht und das neue Toolkit „Darksword“ getauft.
Eskalation der iPhone-Hacking-Fähigkeiten
Die Entdeckung von Darksword folgt kurz nach der Enthüllung eines weiteren fortschrittlichen Hacking-Tools, Coruna, Anfang März. Coruna wurde ursprünglich vom US-Rüstungsunternehmen L3Harris für westliche Geheimdienste (einschließlich der Five Eyes-Allianz) entwickelt, bevor es von russischen Spionen und chinesischen Cyberkriminellen übernommen wurde. Das Aufkommen von zwei solcher Tools deutet darauf hin, dass hochleistungsfähige iPhone-Hacker-Spyware leichter zugänglich ist als bisher angenommen. Bemerkenswert ist, dass sich beide Kampagnen fast ausschließlich auf ukrainische Ziele konzentrierten, was trotz des globalen Potenzials der Tools auf eine gewisse Zurückhaltung schließen lässt.
Darksword: Eine „Smash-and-Grab“-Operation
Im Gegensatz zu überwachungsorientierter Spyware, die für den langfristigen Zugriff konzipiert ist, scheint Darksword für die schnelle Datenexfiltration optimiert zu sein. Das Toolkit stiehlt Passwörter, Fotos, Nachrichten (von WhatsApp und Telegram) und den Browserverlauf und verschwindet dann schnell wieder. Forscher schätzen, dass die Malware abhängig von der Menge der gestohlenen Daten nur „Minuten“ auf einem Gerät aktiv bleibt. Dies deutet darauf hin, dass der Schwerpunkt eher auf der sofortigen Informationsbeschaffung als auf einer längeren Überwachung liegt.
„Die wahrscheinlichste Erklärung ist, dass die Hacker daran interessiert waren, mehr über die Lebensgewohnheiten der Opfer zu erfahren, was keine ständige Überwachung erforderte, sondern eher eine Smash-and-Grab-Operation“, sagt Rocky Cole, Mitbegründer von iVerify.
Doppelte Motive: Spionage und finanzieller Gewinn
Darksword verfügt außerdem über Funktionen zum Diebstahl von Kryptowährungen aus beliebten Wallet-Apps, eine ungewöhnliche Ergänzung für eine mutmaßliche staatlich unterstützte Hackergruppe. Während sich die Forscher nicht sicher sind, ob die Hacker aktiv auf finanziellen Profit aus waren, deutet die Fähigkeit der Malware, Kryptowährungen zu stehlen, entweder auf eine finanziell motivierte Operation oder auf eine Ausweitung der russischen Cyberaktivitäten hin. Der modulare Aufbau von Darksword, der eine einfache Erweiterung der Funktionalität ermöglicht, ist ein weiterer Hinweis auf die berufliche Weiterentwicklung.
Zuschreibung und Implikationen
Sicherheitsexperten weisen mit überwältigender Mehrheit darauf hin, dass die russische Regierung hinter Darksword steckt. Lookout-Forscher bestätigen, dass wahrscheinlich dieselbe Gruppe beteiligt ist, die für die Kampagne in Coruna verantwortlich ist. Justin Albrecht von Lookout beschreibt den Schauspieler als „gut finanziert und gut vernetzt“, da er Angriffe durchführte, die den Anforderungen des russischen Geheimdienstes entsprachen. Die Kampagne selbst war weitreichend und infizierte ukrainische Benutzer, die im Land kompromittierte Websites besuchten.
Die zunehmende Komplexität und Zugänglichkeit von iPhone-Hacking-Tools geben Anlass zu ernsthafter Sorge über die Zukunft der mobilen Sicherheit. Die Tatsache, dass diese Tools ursprünglich von westlichen Auftragnehmern stammten, bevor sie von Gegnern übernommen wurden, unterstreicht die Gefahren der Dual-Use-Technologie im Cyberbereich. Diese jüngste Kampagne unterstreicht die Notwendigkeit erhöhter Wachsamkeit und verbesserter Abwehrmaßnahmen gegen staatlich geförderte Hackerangriffe.
