Група хакерів, яку підозрюють у принаймні частковій співпраці з російським урядом, атакувала користувачів iPhone в Україні за допомогою нового набору хакерських інструментів, призначених для крадіжки персональних даних і криптовалюти. Про це пише TechCrunch.

Дослідники Google, а також безпекових фірм iVerify та Lookout проаналізували нові кібератаки на українців, здійснені групою хакерів, ідентифікованою як UNC6353. У цій кампанії використовувався новий інструмент Darksword, спрямований виключно на користувачів з України.

За словами дослідників, інструментарій Darksword був створений для викрадення особистої інформації, як-от паролі, фотографії, повідомлення у WhatsApp і Telegram, а також історії браузера. Darksword створили не для постійного стеження, а для зараження пристроїв, викрадення інформації та швидкого зникнення. 

Як повідомили дослідники Lookout, все відбувалося за кілька хвилин, залежно від обсягу виявлених і вилучених даних.

Також Darksword пристосований для викрадення криптовалюти з популярних програмних гаманців, що є незвичним для цієї хакерської групи.

«Це може свідчити про те, що зловмисники мають фінансові мотиви або ж про те, що діяльність, пов’язана з російською державою, розширилася до фінансової крадіжки, спрямованої на мобільні пристрої», – йдеться у звіті Lookout. 

Водночас співзасновник iVerify Рокі Коул розповів TechCrunch, що наразі немає жодних доказів того, що хакерська група справді хотіла вкрасти криптовалюту — йдеться лише про те, що шкідливе програмне забезпечення могло бути використане для цього. 

На початку березня Google повідомив про виявлення набору інструментів для зламу iPhone під назвою Coruna. Спочатку він використовувався від імені урядового клієнта, потім російськими шпигунами, які націлювалися на українців, а також китайськими кіберзлочинцями, які хотіли викрасти криптовалюту. 

Darksword був створений таким чином, щоб до нього можна було легко додавати нові функції, що свідчить про професійний дизайн. На думку дослідників, ті, хто продав Coruna російській урядовій хакерській групі, також продавали Darksword.

За словами головного дослідника безпеки Lookout Джастіна Альбрехта, UNC6353 — це добре фінансована і повʼязана з впливовими субʼєктами загроз кібергрупа, яка здійснює атаки з метою отримання фінансової вигоди та шпигунства відповідно до вимог російської розвідки.

Рокі Коул розповів, що шкідливе ПЗ було розроблено для зараження будь-кого, хто відвідує певні українські вебсайти з території України, тож ця операція не мала чітко визначеної цілі.

Нагадаємо, нещодавно спецслужби Нідерландів заявили про глобальну кіберкампанію з боку пов’язаних з Росією хакерів, спрямовану на злам акаунтів нідерландських держслужбовців, військових та журналістів у Signal та WhatsApp. 

Фото: Unsplash