Киберпреступники, связанные с Россией, атакуют пользователей iPhone в Украине. Новое вредоносное ПО похищает данные в считанные минуты. Об этом сообщается в Telegram-канале Центра стратегических коммуникаций SPRAVDI.
– Исследователи Google вместе с iVerify и Lookout зафиксировали новую волну кибератак против украинцев. За ними стоит группа UNC6353, которую связывают с российским правительством. Речь идет о новом инструменте Darksword, созданном специально для атак на пользователей из Украины, - говорится в сообщении.
Что известно об атаке:
- Эксплойт Darksword позволяет взломать iPhone без участия пользователя.
- В Украине один из сайтов, содержащий вредоносный код, имеет домен.gov.ua – вероятно, был скомпрометирован государственный сервер.
- Атака затрагивает версии iOS 18.4-18.6.2, которыми пользуется около 270 млн человек.
- Эксплойт предоставляет полный доступ к смартфону: сообщениям, местоположению, паролям, звонкам и данным приложений.
- Инструмент связывают с российскими киберпреступниками и используют для воровства и шпионажа.
Как пишет TechCrunch, Darksword был направлен только на пользователей в Украине.
По словам исследователей, набор инструментов Darksword был создан для похищения личной информации – в том числе паролей, фотографий, сообщений из WhatsApp, Telegram и SMS, а также истории браузера. Darksword не предназначен для длительной слежки: он заражает устройство, быстро собирает данные и исчезает.
Исследователи Lookout отметили, что "время пребывания" Darksword на устройстве, вероятно, составляет всего несколько минут – в зависимости от объема найденных и переданных данных. Кроме того, Darksword также был разработан для похищения криптовалюты из популярных кошельков, что нетипично для вероятно государственной хакерской группы.
- UNC6353 – это хорошо финансируемый и связанный субъект угроз, который проводит атаки с целью финансовой выгоды и шпионажа в соответствии с потребностями российской разведки. Мы считаем, что есть основания предполагать, что UNC6353 может быть российским криминальным прокси, учитывая двойные цели – финансовые кражи и сбор разведданных, – заявил ведущий исследователь безопасности Lookout Джастин Альбрехт.
- 10 марта Центр противодействия дезинформации СНБО Украины сообщил, что российские хакеры, связанные с Кремлем, развернули масштабную операцию, направленную на хищение данных аккаунтов у Signal и WhatsApp.
- 19 февраля в НБУ сообщили, что российские хакеры получили доступ к базе с 266 999 записями – электронными адресами, телефонами и кэшированными паролями пользователей интернет-магазина нумизматики НБУ.