Група хакерів, які, ймовірно, працює на уряд росії, атакувала користувачів iPhone в Україні за допомогою нового набору хакерських інструментів, призначених для викрадення їхніх персональних даних, а також криптовалюти.

На цю тему вийшло одразу кілька матеріалів — TechCrunch, Wired — які описують дослідження спеціалістів з Google та компаній у сфері безпеки iVerify і Lookout. Групу росіян ідентифікована як UNC6353, що використовували набір інструментів під назвою DarkSword.

DarkSword

Інструмент під назвою DarkSword — це складний експлойт для iPhone, який дозволяє отримати повний доступ до пристрою без жодної взаємодії з боку користувача. Достатньо просто відкрити заражений сайт — і телефон уже скомпрометований. На відміну від попередніх поколінь шпигунського ПЗ, які намагалися залишатися в системі якнайдовше, DarkSword працює інакше: він швидко проникає в пристрій, збирає максимум даних і зникає, залишаючи мінімум слідів.

• Цей інструмент вже використовувався проти користувачів в Україні. Зламані сайти — включно з новинними ресурсами та державними сторінками — ставали точками входу для збору даних із телефонів відвідувачів.
• За словами дослідників, мова йде не про точкові операції, а про кампанію, яка могла охоплювати значно ширшу аудиторію. І хоча основний фокус був на Україні, аналогічні атаки фіксувалися також у Туреччині, Саудівській Аравії та Малайзії.
• DarkSword орієнтований на пристрої з iOS 18 — попередньою версією операційної системи Apple, яка досі використовується приблизно чвертю власників iPhone. У глобальних масштабах це означає сотні мільйонів пристроїв.
• Саме тому порада для більшості власників iPhone однакова — оновлюйтесь на найновіші версії операційних систем.

Той факт, що DarkSword був націлений лише на користувачів в Україні, ще більше наближає до думки про спрямовану атаку з росії.

DarkSword може викрадати:

• паролі;
• фотографії;
• повідомлення із WhatsApp, Telegram і SMS;
• історію браузера.

Мета — швидко інфікувати пристрій, зібрати дані та зникнути. При цьому час перебування на пристрої становить лише кілька хвилин, залежно від обсягу знайдених і переданих даних.

Coruna

На початку березня Google розкрив деталі ще одного інструменту для зламу iPhone під назвою Coruna.

Цей інструмент спочатку був розроблений у американській L3Harris Technologies, зокрема в його підрозділі Trenchant, який займається технологіями зламу та спостереження. Coruna спочатку створювався для використання західними урядами, зокрема країнами альянсу Five Eyes (Австралія, Канада, Нова Зеландія, США та Велика Британія), за словами колишніх співробітників L3Harris, обізнаних із цими розробками, а потім — російські спецслужби для атак на українців, а згодом — китайські кіберзлочинці для викрадення криптовалюти.

DarkSword, судячи з усього, не має прямого технічного зв’язку з Coruna, але використовується тими ж сторонами, що натякає на існування посередників, які торгують подібними інструментами на напівлегальному ринку.

Саме цей аспект — поява ринку експлойтів — є, можливо, найбільш тривожним, пишуть медіа. Те, що ще кілька років тому вважалося інструментом стратегічного рівня, сьогодні поступово перетворюється на товар. Щобільше, у випадку з DarkSword дослідники виявили, що його код був залишений на заражених сайтах практично у відкритому доступі — з коментарями та поясненнями. Це означає, що будь-яка технічно підготовлена група може відтворити атаку.

Apple, зі свого боку, заявляє, що випущені оновлення закривають відповідні вразливості, і закликає користувачів регулярно оновлювати свої пристрої.