Google

Російські кіберзлочинці здійснюють атаки на українських користувачів iPhone, використовуючи новий інструмент Darksword, який викрадає інформацію.

Від Катерина Бойко 133

Російські кіберзлочинці здійснюють атаки на українських користувачів iPhone, використовуючи новий інструмент Darksword, який викрадає інформацію. 1 Google, iVerify і Lookout виявили використання Darksword групою UNC6353.

Фахівці з Google, а також компаній iVerify і Lookout виявили, що хакерська група під назвою UNC6353, яку асоціюють із російськими спецслужбами, проводить атаки на українських власників iPhone. Ця кампанія передбачає використання інструменту Darksword, який розповсюджується через скомпрометовані вебсайти, для збору особистих даних, повідомляє TechCrunch.

За даними експертів, Darksword призначений для швидкого збору конфіденційної інформації. Це включає паролі, фотографії, повідомлення з WhatsApp, Telegram і SMS, а також історію веб-перегляду.

“Час перебування на пристрої, ймовірно, становитиме кілька хвилин, залежно від обсягу даних, які він виявляє та викрадає”, — зазначили фахівці Lookout.

Експерти підкреслюють, що цей метод відрізняється від традиційного шпигунського програмного забезпечення, яке функціонує тривалий час. За словами співзасновника iVerify Роккі Коула, йдеться скоріше про швидкі операції зі збору даних, а не про постійне стеження.

Darksword також має можливість отримувати доступ до криптовалютних гаманців, що є незвичним для інструментів, пов’язаних із державними структурами. Водночас дослідники не мають підтверджень, що крадіжка криптовалюти була основною метою кампанії.

“Це може свідчити про те, що зловмисник діє з фінансовими намірами, або ж про те, що ця, ймовірно, пов’язана з російською державою діяльність поширилася на фінансові крадіжки, спрямовані проти мобільних пристроїв”, — йдеться у звіті Lookout.

Фахівці також пов’язують нову кампанію з інструментом Coruna, про який Google повідомив на початку березня. Раніше його використовували державні структури, російські шпигуни проти українців, а також китайські кіберзлочинці для крадіжки криптовалюти.

Як з’ясували дослідники, Coruna був розроблений американським оборонним підрядником L3Harris, зокрема його підрозділом Trenchant. Спочатку інструмент створювався для використання урядами країн альянсу Five Eyes.

На думку експертів, Darksword є більш сучасним і модульним рішенням, яке дозволяє швидко інтегрувати нові функції. Існує припущення, що обидва інструменти могли бути продані одним і тим самим постачальником.

“UNC6353 — це добре фінансована та пов’язана з іншими структурами зловмисна група, яка здійснює атаки з метою отримання фінансової вигоди та шпигунства відповідно до вимог російських спецслужб”, — заявив головний дослідник безпеки Lookout Джастін Альбрехт.

За словами Коула, шкідливе програмне забезпечення розроблено для зараження будь-кого, хто відвідує певні українські веб-сайти. Також важливим було відвідування саме з території України.

Нещодавно спецслужби Нідерландів (AIVD та MIVD) викрили глобальну кіберкампанію російських хакерів, спрямовану на злам акаунтів посадовців, військових та журналістів у месенджерах Signal та WhatsApp. Незважаючи на наявність наскрізного шифрування, розвідка застерігає від використання месенджерів для передачі секретної інформації, оскільки хакери навчилися отримувати доступ до листування через функцію “пов’язаних пристроїв” та пряме захоплення облікових записів.