Un gruppo di hacker fortemente sospettato di legami con il governo russo ha sfruttato attivamente gli utenti iPhone in Ucraina con nuovi e sofisticati strumenti progettati per rubare dati personali e, potenzialmente, criptovaluta. I ricercatori di sicurezza informatica di Google, iVerify e Lookout hanno identificato la campagna, collegata a un’operazione precedentemente scoperta, e hanno soprannominato il nuovo toolkit “Darksword”.
Aumento delle capacità di hacking dell’iPhone
La scoperta di Darksword segue da vicino la rivelazione di un altro strumento di hacking avanzato, Coruna, all’inizio di marzo. Coruna è stato inizialmente sviluppato dall’appaltatore della difesa statunitense L3Harris per le agenzie di intelligence occidentali (inclusa l’alleanza Five Eyes) prima di essere adottato dalle spie russe e dai criminali informatici cinesi. L’emergere di due strumenti di questo tipo suggerisce che gli spyware altamente efficaci per l’hacking degli iPhone sono più accessibili di quanto si pensasse in precedenza. In particolare, entrambe le campagne si sono concentrate quasi esclusivamente su obiettivi ucraini, indicando un certo grado di moderazione nonostante il potenziale globale degli strumenti.
Spada Oscura: un’operazione “Smash-and-Grab”.
A differenza dello spyware incentrato sulla sorveglianza progettato per l’accesso a lungo termine, Darksword sembra ottimizzato per una rapida esfiltrazione dei dati. Il toolkit ruba password, foto, messaggi (da WhatsApp e Telegram) e cronologia di navigazione, per poi scomparire rapidamente. I ricercatori stimano che il malware rimanga attivo su un dispositivo solo per “minuti”, a seconda della quantità di dati rubati. Ciò suggerisce un’attenzione primaria alla raccolta immediata di informazioni piuttosto che al monitoraggio prolungato.
“La spiegazione più probabile è che gli hacker fossero interessati a conoscere il modello di vita delle vittime, che non richiedeva una sorveglianza costante, ma piuttosto un’operazione di distruzione e rapina”, afferma Rocky Cole, cofondatore di iVerify.
Doppio movente: spionaggio e guadagno finanziario
Darksword incorpora anche funzionalità per rubare criptovaluta dalle popolari app di portafoglio, un’aggiunta insolita per un sospetto gruppo di hacker sostenuto dallo stato. Sebbene i ricercatori non siano sicuri se gli hacker abbiano cercato attivamente un guadagno finanziario, la capacità del malware di rubare criptovalute suggerisce un’operazione motivata dal punto di vista finanziario o un ampliamento della portata dell’attività informatica russa. Il design modulare di Darksword, che consente una facile espansione delle funzionalità, indica ulteriormente lo sviluppo professionale.
Attribuzione e implicazioni
Gli esperti di sicurezza indicano in grande maggioranza che dietro Darksword c’è il governo russo. I ricercatori confermano che è probabile che sia coinvolto lo stesso gruppo responsabile della campagna di La Coruna. Justin Albrecht di Lookout descrive l’attore come “ben finanziato e con contatti”, che conduce attacchi in linea con i requisiti dell’intelligence russa. La campagna stessa è stata ampia e ha infettato gli utenti ucraini che hanno visitato siti Web compromessi mentre si trovavano nel paese.
La crescente sofisticatezza e accessibilità degli strumenti di hacking dell’iPhone solleva serie preoccupazioni sul futuro della sicurezza mobile. Il fatto che questi strumenti siano nati da appaltatori occidentali prima di essere adottati dagli avversari sottolinea i pericoli della tecnologia a duplice uso nel dominio informatico. Quest’ultima campagna rafforza la necessità di una maggiore vigilanza e di migliori difese contro gli attacchi hacker sponsorizzati dallo Stato.
