Дослідники кібербезпеки виявили нову хвилю атак на українських користувачів iPhone. У ній використовували інструмент DarkSword, який давав змогу швидко витягувати з телефона особисті дані без тривалого стеження за жертвою.
Дослідники кібербезпеки виявили нову хвилю атак на українських користувачів iPhone. У ній використовували інструмент DarkSword, який давав змогу швидко витягувати з телефона особисті дані без тривалого стеження за жертвою.
За даними TechCrunch, за кампанією стоїть група UNC6353, яку дослідники пов’язують із російськими спецслужбами. Атаки були спрямовані саме на українців: шкідливий ланцюжок спрацьовував, коли людина відкривала заражений сайт з iPhone, перебуваючи в Україні.
DarkSword створили не для довгого прихованого стеження, а для швидкого збору даних. Інструмент міг викрадати паролі, фото, історію браузера, SMS, а також листування з WhatsApp і Telegram. Після цього шкідливий код працював на пристрої лише кілька хвилин і зникав, що ускладнювало виявлення атаки.
Окремо дослідники звернули увагу, що DarkSword умів працювати і з популярними криптогаманцями. Утім, доказів того, що російські хакери реально виводили криптовалюту в цій кампанії, наразі немає. Сам факт такої функції радше вказує, що інструмент розробляли гнучким і модульним, щоб його можна було використовувати як для шпигунства, так і для фінансових злочинів.
Це вже другий подібний набір інструментів для злому iPhone, який пов’язують з атаками на українців за короткий час. На початку березня Google описала інший комплект під назвою Coruna. Нова знахідка показує, що дорогі й складні інструменти для злому iPhone вже не настільки рідкісні, як раніше, а самі атаки на українців можуть бути частиною ширшого ринку таких кіберзасобів.
Google Threat Intelligence Group повідомляє, що DarkSword використовував інший ланцюжок вразливостей, ніж Coruna, але мав пов’язану інфраструктуру. Apple вже закрила частину вразливостей, а дослідники радять користувачам якнайшвидше оновити iOS. За оцінками Reuters і Wired, ризик може стосуватися сотень мільйонів пристроїв, якщо вони досі працюють на вразливих версіях системи.
Раніше dev.ua писав про те, як українські установи опинилися під прицілом нової кіберкампанії. Як повідомляють фахівці іспанської компанії з безпеки S2 Grupo LAB52, за атаками, ймовірно, стоять російські хакери.
