Хакерська група, ймовірно пов’язана з російським урядом, активно використовує вразливість iPhone у користувачів в Україні за допомогою нових, складних інструментів, призначених для крадіжки особистих даних та, можливо, криптовалюти. Дослідники в галузі кібербезпеки з Google, iVerify та Lookout виявили цю кампанію, пов’язану з раніше виявленою операцією, та назвали новий набір інструментів “Darksword”.
Ескалація Можливостей Взлому iPhone
Виявлення Darksword пролунало незабаром після розкриття іншого просунутого інструменту для злому, Coruna, на початку березня. Coruna спочатку було розроблено американським оборонним підрядником L3Harris для західних спецслужб (включаючи альянс “П’яти очей”), перш ніж його перейняли російські шпигуни та китайські кіберзлочинці. Поява двох таких інструментів говорить про те, що високоефективне шпигунське ПЗ для злому iPhone стало більш доступним, ніж вважалося раніше. Важливо відзначити, що обидві кампанії майже виключно зосереджені на українських цілях, що вказує на певну стриманість, незважаючи на глобальний потенціал інструментів.
Darksword: Операція “Удар і Втеча”
На відміну від шпигунського програмного забезпечення, орієнтованого на довгостроковий доступ і стеження, Darksword, мабуть, оптимізований для швидкого крадіжки даних. Набір інструментів краде паролі, фотографії, повідомлення (з WhatsApp та Telegram) та історію переглядів, а потім швидко зникає. Дослідники оцінюють, що шкідливе програмне забезпечення залишається активним на пристрої всього “кілька хвилин”, залежно від обсягу вкрадених даних. Це говорить про те, що основний акцент робиться на негайний збір розвідданих, а не на тривале спостереження.
“Найімовірніше пояснення полягає в тому, що хакерів цікавили спосіб життя жертв, що не вимагало постійного стеження, а скоріше операції “удар і втеча”, – стверджує Роккі Коул, співзасновник iVerify.
Подвійні Мотиви: Шпигунство та Фінансова Вигода
Darksword також включає можливості крадіжки криптовалюти з популярних гаманців, що є незвичайним доповненням для передбачуваної групи хакерів, що підтримується державою. Хоча дослідники не впевнені, чи активно хакери прагнули фінансової вигоди, можливість крадіжки криптовалюти передбачає або фінансово мотивовану операцію, або розширення масштабу російської кібердіяльності. Модульна конструкція Darksword, що дозволяє легко розширювати функціональність ще більше вказує на професійну розробку.
Атрибуція та Наслідки
Експерти з безпеки переконливо вказують на російський уряд як організатора Darksword. Дослідники Lookout підтверджують, що той самий гурт, відповідальний за кампанію Coruna, ймовірно, причетний. Джастін Альбрехт з Lookout описує зловмисника як “добре фінансованого та зв’язку”, що проводить атаки відповідно до вимог російської розвідки. Кампанія була масштабною, заражаючи українських користувачів, котрі відвідували скомпрометовані сайти, перебуваючи в країні.
Той факт, що ці інструменти спочатку походили від західних підрядників, перш ніж їх перейняли противники, підкреслює небезпеку технологій подвійного призначення в кіберпросторі. Ця остання кампанія підтверджує необхідність підвищеної пильності та покращення захисту від кібератак, спонсорованих державою.
