Un groupe de hackers fortement soupçonné d’avoir des liens avec le gouvernement russe exploite activement les utilisateurs d’iPhone en Ukraine avec de nouveaux outils sophistiqués conçus pour voler des données personnelles et, potentiellement, des cryptomonnaies. Les chercheurs en cybersécurité de Google, iVerify et Lookout ont identifié la campagne, liée à une opération précédemment découverte, et ont baptisé la nouvelle boîte à outils « Darksword ».
Augmentation des capacités de piratage de l’iPhone
La découverte de Darksword suit de près la révélation d’un autre outil de piratage avancé, Coruna, plus tôt en mars. Coruna a été initialement développé par l’entrepreneur américain de défense L3Harris pour les agences de renseignement occidentales (y compris l’alliance Five Eyes) avant d’être adopté par les espions russes et les cybercriminels chinois. L’émergence de deux outils de ce type suggère que les logiciels espions de piratage iPhone hautement performants sont plus accessibles qu’on ne le pensait auparavant. Il convient de noter que les deux campagnes se sont concentrées presque exclusivement sur des cibles ukrainiennes, ce qui témoigne d’une certaine retenue malgré le potentiel mondial de ces outils.
Darksword : une opération “Smash-and-Grab”
Contrairement aux logiciels espions axés sur la surveillance et conçus pour un accès à long terme, Darksword semble optimisé pour une exfiltration rapide des données. La boîte à outils vole les mots de passe, les photos, les messages (de WhatsApp et Telegram) et l’historique de navigation, puis disparaît rapidement. Les chercheurs estiment que le malware reste actif sur un appareil pendant seulement « minutes », en fonction de la quantité de données volées. Cela suggère qu’il faut se concentrer principalement sur la collecte immédiate de renseignements plutôt que sur une surveillance prolongée.
“L’explication la plus probable est que les pirates souhaitaient connaître le mode de vie des victimes, ce qui ne nécessitait pas une surveillance constante, mais plutôt une opération de smash-and-grap”, explique Rocky Cole, co-fondateur d’iVerify.
Double motivation : espionnage et gain financier
Darksword intègre également des capacités permettant de voler des crypto-monnaies à partir d’applications de portefeuille populaires, un ajout inhabituel pour un groupe de piratage présumé soutenu par l’État. Même si les chercheurs ne savent pas si les pirates recherchaient activement un gain financier, la capacité du malware à voler des crypto-monnaies suggère soit une opération motivée par des raisons financières, soit un élargissement de la portée de la cyberactivité russe. La conception modulaire de Darksword, permettant une extension facile des fonctionnalités, indique en outre un développement professionnel.
Attribution et implications
Les experts en sécurité désignent massivement le gouvernement russe comme étant derrière Darksword. Les chercheurs de Lookout confirment que le même groupe responsable de la campagne de La Corogne est probablement impliqué. Justin Albrecht de Lookout décrit l’acteur comme étant « bien financé et connecté », menant des attaques conformes aux exigences des services de renseignement russes. La campagne elle-même était de grande envergure, infectant les utilisateurs ukrainiens qui visitaient des sites Web compromis alors qu’ils se trouvaient dans le pays.
La sophistication et l’accessibilité croissantes des outils de piratage d’iPhone soulèvent de sérieuses inquiétudes quant à l’avenir de la sécurité mobile. Le fait que ces outils soient issus de sous-traitants occidentaux avant d’être adoptés par des adversaires souligne les dangers de la technologie à double usage dans le domaine cybernétique. Cette dernière campagne renforce la nécessité d’une vigilance accrue et de meilleures défenses contre le piratage informatique parrainé par l’État.
