Badacze bezpieczeństwa informują o nowej kampanii cyberataków wymierzonej w użytkowników iPhone’ów na terenie Ukrainy. Za działaniami ma stać grupa hakerska UNC6353, która według analiz może być powiązana z rosyjskimi władzami.
Ataki zostały wykryte przez ekspertów z Google oraz firm zajmujących się cyberbezpieczeństwem, iVerify i Lookout. Wspólnie przeanalizowali oni zainfekowane strony internetowe, które były wykorzystywane do przeprowadzania ataków.
Narzędzie Darksword i jego możliwości
W nowej kampanii wykorzystano zestaw narzędzi o nazwie Darksword. Jego głównym celem jest kradzież danych z urządzeń ofiar. Z ustaleń badaczy wynika, iż oprogramowanie potrafi przechwytywać hasła, zdjęcia, wiadomości z komunikatorów takich jak WhatsApp czy Telegram, a także historię z przeglądarki internetowej.
Badacze bezpieczeństwa informują o nowej kampanii cyberataków wymierzonej w użytkowników iPhone’ów na terenie Ukrainy. Za działaniami ma stać grupa hakerska UNC6353, która według analiz może być powiązana z rosyjskimi władzami.
Co istotne, narzędzie nie zostało zaprojektowane do długotrwałej inwigilacji. Działa raczej szybko – infekuje sprzęt, zbiera dostępne dane, a następnie znika. Według analityków oprogramowanie pozostaje na urządzeniu zaledwie kilka minut.
Powiązania z wcześniejszymi atakami
Nowa kampania nie jest odosobnionym przypadkiem. Na początku marca, Google opisał inne zaawansowane narzędzie do ataków na iPhone’y o nazwie Coruna.
Tamto rozwiązanie było wykorzystywane w różnych etapach przez różne podmioty – od klientów rządowych, przez rosyjskie służby, aż po cyberprzestępców zainteresowanych kradzieżą kryptowalut. Jak później ustalono, jego rozwój miał związek z firmą L3Harris.
Eksperci wskazują, iż Darksword może być powiązany z tamtymi działaniami, choć wykorzystuje inne podatności i nowsze techniki.
Możliwa kradzież kryptowalut
Jednym z bardziej zaskakujących elementów Darksword jest zdolność do kradzieży kryptowalut z popularnych portfeli mobilnych. To nietypowe w przypadku narzędzi przypisywanych grupom powiązanym z państwami, które zwykle skupiają się na wywiadzie.
Badacze podkreślają jednak, że nie ma jednoznacznych dowodów na to, iż kradzież kryptowalut była głównym celem tej kampanii. Możliwe, że funkcja ta została dodana jako dodatkowa opcja.
Kto stoi za atakami
Zdaniem analityków wiele wskazuje na to, że za kampanią stoi podmiot powiązany z Rosją. Eksperci zwracają uwagę, iż grupa UNC6353 dysponuje dużymi zasobami oraz prowadzi działania zarówno o charakterze wywiadowczym, jak i potencjalnie finansowym.
Pojawiają się też opinie, że może to być tzw. pośrednik – grupa działająca na zlecenie państwa, ale jednocześnie realizująca własne cele.
Jak wybierano ofiary
Ataki nie były ukierunkowane na konkretne osoby. Złośliwe oprogramowanie trafiało na urządzenia użytkowników odwiedzających wybrane strony internetowe w Ukrainie. W praktyce oznacza to, że potencjalnie każdy użytkownik iPhone’a znajdujący się na terenie kraju mógł paść ofiarą, jeśli odwiedził zainfekowaną witrynę.
Coraz bardziej zaawansowane zagrożenia
Odkrycie Darksword pokazuje, że zaawansowane narzędzia do ataków na iPhone’y nie są już tak rzadkie, jak wcześniej zakładano. Eksperci zwracają uwagę, iż tego typu oprogramowanie staje się coraz bardziej dostępne oraz elastyczne.
Nowoczesne narzędzia są modułowe, co oznacza, że można je łatwo rozbudowywać o kolejne funkcje. To sprawia, że zagrożenia dla użytkowników urządzeń mobilnych mogą się szybko zmieniać i rozwijać.
Jacek Winkler