Исследователи из Google, а также компаний iVerify и Lookout установили, что группа хакеров под идентификатором UNC6353, которую связывают с российскими спецслужбами, осуществляет атаки на украинских пользователей iPhone. Кампания предусматривает использование инструмента Darksword, который распространяется через скомпрометированные веб-сайты, для сбора персональных данных, передает TechCrunch.
По оценкам специалистов, Darksword предназначен для быстрого сбора конфиденциальной информации. Речь идет о паролях, фотографиях, сообщениях из WhatsApp, Telegram и SMS, а также истории браузера.
"Время пребывания на устройстве, вероятно, составляет несколько минут, в зависимости от объема данных, которые он обнаруживает и похищает", — отметили исследователи Lookout.
Эксперты подчеркивают, что этот подход отличается от классического шпионского ПО, которое работает длительное время. По словам соучредителя iVerify Рокки Коула, речь идет скорее о быстрых операциях по сбору данных, а не постоянной слежке.
Darksword также способен получать доступ к криптовалютным кошелькам, что нетипично для инструментов, связанных с государственными структурами. В то же время исследователи не имеют подтверждений, что именно кража криптовалюты была основной целью кампании.
"Это может свидетельствовать о том, что злоумышленник действует из финансовых мотивов, или же о том, что эта, вероятно, связанная с российским государством деятельность распространилась на финансовые кражи, направленные против мобильных устройств", — говорится в отчете Lookout.
Специалисты также связывают новую кампанию с инструментом Coruna, о котором Google сообщил в начале марта. Ранее его использовали государственные структуры, российские шпионы против украинцев, а также китайские киберпреступники для кражи криптовалюты.
Как выяснили исследователи, Coruna разработал американский оборонный подрядчик L3Harris, в частности его подразделение Trenchant. Изначально инструмент создавался для использования правительствами стран альянса Five Eyes.
По мнению экспертов, Darksword является более современным и модульным решением, которое позволяет быстро добавлять новые функции. Существует предположение, что оба инструмента могли быть проданы одним и тем же поставщиком.
"UNC6353 — это хорошо финансируемая и связанная с другими структурами злонамеренная группа, которая осуществляет атаки с целью получения финансовой выгоды и шпионажа в соответствии с требованиями российских спецслужб", — заявил главный исследователь безопасности Lookout Джастин Альбрехт.
По словам Коула, вредоносное программное обеспечение разработали для заражения любого, кто посещает определенные украинские веб-сайты. Также важным было посещение именно с территории Украины.
Недавно спецслужбы Нидерландов (AIVD и MIVD) разоблачили глобальную киберкампанию российских хакеров, направленную на взлом аккаунтов чиновников, военных и журналистов в мессенджерах Signal и WhatsApp. Несмотря на наличие сквозного шифрования, разведка предостерегает от использования мессенджеров для передачи секретной информации, поскольку хакеры научились получать доступ к переписке через функцию "связанных устройств" и прямой захват учетных записей.