Grupa hakerska, która prawdopodobnie ma powiązania z rosyjskim rządem, aktywnie wykorzystuje luki w zabezpieczeniach iPhone’a wśród użytkowników na Ukrainie za pomocą nowych, wyrafinowanych narzędzi zaprojektowanych do kradzieży danych osobowych i prawdopodobnie kryptowaluty. Badacze ds. cyberbezpieczeństwa z Google, iVerify i Lookout zidentyfikowali tę kampanię, powiązaną z wcześniej odkrytą operacją, i nazwali nowy zestaw narzędzi „Darksword”.
Eskalacja możliwości hakowania iPhone’a
Odkrycie Darksword następuje wkrótce po odkryciu na początku marca innego zaawansowanego narzędzia hakerskiego, Coruna. Coruna została pierwotnie opracowana przez amerykańską firmę L3Harris, wykonawcę obronności dla zachodnich agencji wywiadowczych (w tym sojuszu Five Eyes), zanim została przyjęta przez rosyjskich szpiegów i chińskich cyberprzestępców. Pojawienie się dwóch takich narzędzi sugeruje, że wysoce skuteczne oprogramowanie szpiegujące do hakowania iPhone’a stało się bardziej dostępne, niż wcześniej sądzono. Warto zaznaczyć, że obie kampanie skupiają się niemal wyłącznie na celach ukraińskich, co wskazuje na pewną powściągliwość pomimo globalnego potencjału narzędzi.
Darksword: Operacja Hit and Run
W przeciwieństwie do oprogramowania szpiegującego, które koncentruje się na długoterminowym dostępie i nadzorze, Darksword wydaje się być zoptymalizowany pod kątem szybkiej kradzieży danych. Zestaw narzędzi kradnie hasła, zdjęcia, wiadomości (z WhatsApp i Telegramu) oraz historię przeglądania, a następnie szybko znika. Badacze szacują, że złośliwe oprogramowanie pozostaje aktywne na urządzeniu zaledwie „kilka minut”, w zależności od ilości skradzionych danych. Sugeruje to, że nacisk położony jest na natychmiastowe gromadzenie danych wywiadowczych, a nie na długoterminową inwigilację.
„Najbardziej prawdopodobnym wyjaśnieniem jest to, że hakerów interesował styl życia ofiar, który nie wymagał ciągłego nadzoru, ale raczej ucieczki z miejsca zdarzenia” – powiedział Rocky Cole, współzałożyciel iVerify.
Podwójne motywy: szpiegostwo i zysk finansowy
Darksword zawiera także możliwości kradzieży kryptowalut z popularnych portfeli, co jest nietypowym dodatkiem dla rzekomej grupy hakerskiej wspieranej przez państwo. Chociaż badacze nie są pewni, czy hakerzy aktywnie szukali korzyści finansowych, możliwość kradzieży kryptowaluty sugeruje albo operację motywowaną finansowo, albo ekspansję rosyjskiej aktywności cybernetycznej. Modułowa konstrukcja Darksworda, pozwalająca na łatwą rozbudowę funkcjonalności, dodatkowo wskazuje na rozwój zawodowy.
Uznanie autorstwa i konsekwencje
Eksperci ds. bezpieczeństwa zdecydowanie wskazują na rząd rosyjski jako twórcę Darksword. Badacze Lookout potwierdzają, że prawdopodobnie w tę akcję zamieszana jest ta sama grupa odpowiedzialna za kampanię w Corunie. Justin Albrecht z Lookout opisuje napastnika jako „dobrze finansowanego i mającego dobre kontakty” przeprowadzającego ataki zgodnie z wymogami rosyjskiego wywiadu. Kampania była zakrojona na dużą skalę i infekowała ukraińskich użytkowników, którzy podczas pobytu w kraju odwiedzali zaatakowane witryny.
Rosnące wyrafinowanie i dostępność narzędzi do hakowania iPhone’a budzi poważne obawy o przyszłość bezpieczeństwa urządzeń mobilnych. Fakt, że narzędzia te pierwotnie pochodziły od zachodnich wykonawców, zanim zostały przyjęte przez przeciwników, podkreśla niebezpieczeństwa związane z technologiami podwójnego zastosowania w cyberprzestrzeni. Ta najnowsza kampania podkreśla potrzebę zwiększonej czujności i lepszej ochrony przed sponsorowanymi przez państwo cyberatakami.
