Хакерская группа, предположительно связанная с российским правительством, активно использует уязвимости iPhone у пользователей в Украине с помощью новых, сложных инструментов, предназначенных для кражи личных данных и, возможно, криптовалюты. Исследователи в области кибербезопасности из Google, iVerify и Lookout выявили эту кампанию, связанную с ранее обнаруженной операцией, и назвали новый набор инструментов «Darksword».
Эскалация Возможностей Взлома iPhone
Обнаружение Darksword последовало вскоре после раскрытия другого продвинутого инструмента для взлома, Coruna, в начале марта. Coruna изначально был разработан американским оборонным подрядчиком L3Harris для западных спецслужб (включая альянс «Пяти глаз»), прежде чем его переняли российские шпионы и китайские киберпреступники. Появление двух таких инструментов говорит о том, что высокоэффективное шпионское ПО для взлома iPhone стало более доступным, чем считалось ранее. Важно отметить, что обе кампании почти исключительно сосредоточены на украинских целях, что указывает на определенную сдержанность, несмотря на глобальный потенциал инструментов.
Darksword: Операция «Удар и Бегство»
В отличие от шпионского ПО, ориентированного на долгосрочный доступ и слежку, Darksword, по-видимому, оптимизирован для быстрой кражи данных. Набор инструментов крадет пароли, фотографии, сообщения (из WhatsApp и Telegram) и историю просмотров, а затем быстро исчезает. Исследователи оценивают, что вредоносное ПО остается активным на устройстве всего «несколько минут», в зависимости от объема украденных данных. Это говорит о том, что основной упор делается на немедленный сбор разведданных, а не на длительное наблюдение.
«Наиболее вероятное объяснение заключается в том, что хакеров интересовали образ жизни жертв, что не требовало постоянной слежки, а скорее операции «удар и бегство», – утверждает Рокки Коул, соучредитель iVerify.
Двойные Мотивы: Шпионаж и Финансовая Выгода
Darksword также включает возможности кражи криптовалюты из популярных кошельков, что является необычным дополнением для предполагаемой хакерской группы, поддерживаемой государством. Хотя исследователи не уверены, активно ли хакеры стремились к финансовой выгоде, возможность кражи криптовалюты предполагает либо финансово мотивированную операцию, либо расширение масштаба российской кибердеятельности. Модульная конструкция Darksword, позволяющая легко расширять функциональность, еще больше указывает на профессиональную разработку.
Атрибуция и Последствия
Эксперты по безопасности убедительно указывают на российское правительство как на организатора Darksword. Исследователи Lookout подтверждают, что та же группа, ответственная за кампанию Coruna, вероятно, причастна. Джастин Альбрехт из Lookout описывает злоумышленника как «хорошо финансируемого и имеющего связи», проводящего атаки в соответствии с требованиями российской разведки. Кампания была масштабной, заражая украинских пользователей, которые посещали скомпрометированные сайты, находясь в стране.
Растущая сложность и доступность инструментов для взлома iPhone вызывает серьезную обеспокоенность относительно будущего мобильной безопасности. Тот факт, что эти инструменты изначально происходили от западных подрядчиков, прежде чем их переняли противники, подчеркивает опасности технологий двойного назначения в киберпространстве. Эта последняя кампания подтверждает необходимость повышенной бдительности и улучшения защиты от кибератак, спонсируемых государством.
