Кіберзлочинці, пов’язані з Росією, здійснюють атаки на користувачів iPhone в Україні. Нове шкідливе ПЗ викрадає дані за лічені хвилини. Про це повідомляється у Telegram-каналі Центру стратегічних комунікацій SPRAVDI.
- Дослідники Google разом із iVerify та Lookout зафіксували нову хвилю кібератак проти українців. За ними стоїть група UNC6353, яку пов’язують із російським урядом. Йдеться про новий інструмент Darksword, створений спеціально для атак на користувачів з України, - йдеться в повідомленні.
Що відомо про атаку:
- Експлойт Darksword дозволяє зламати iPhone без участі користувача.
- В Україні один із сайтів, що містив шкідливий код, має домен .gov.ua - ймовірно, було скомпрометовано державний сервер.
- Атака зачіпає версії iOS 18.4-18.6.2, якими користуються близько 270 млн людей.
- Експлойт надає повний доступ до смартфона: повідомлень, місцезнаходження, паролів, дзвінків і даних додатків.
- Інструмент пов’язують із російськими кіберзлочинцями та використовують для крадіжок і шпигунства.
Як пише TechCrunch, дослідники з Google та компаній з кібербезпеки iVerify і Lookout проаналізували нові кібератаки проти українців, які здійснювала група під ідентифікатором UNC6353. Вони зазначили, що Darksword був спрямований лише на користувачів в Україні.
За словами дослідників, набір інструментів Darksword був створений для викрадення особистої інформації - зокрема паролів, фотографій, повідомлень із WhatsApp, Telegram і SMS, а також історії браузера. Darksword не призначений для тривалого стеження: він заражає пристрій, швидко збирає дані та зникає.
Дослідники Lookout зазначили, що "час перебування" Darksword на пристрої, ймовірно, становить лише кілька хвилин - залежно від обсягу знайдених і переданих даних. Крім того, Darksword також був розроблений для викрадення криптовалюти з популярних гаманців - що є нетиповим для ймовірно державної хакерської групи.
- UNC6353 - це добре фінансований і пов’язаний суб’єкт загроз, який проводить атаки з метою фінансової вигоди та шпигунства відповідно до потреб російської розвідки. Ми вважаємо, що є підстави припускати, що UNC6353 може бути російським кримінальним проксі, враховуючи подвійні цілі - фінансові крадіжки та збір розвідданих, - заявив провідний дослідник безпеки Lookout Джастін Альбрехт.
- 10 березня Центр протидії дезінформації РНБО України із посиланням на звіт спецслужб Нідерландів (AIVD та MIVD) повідомив, що російські хакери, пов'язані з Кремлем, розгорнули масштабну операцію, спрямовану на викрадення даних акаунтів у Signal і WhatsApp.
- 19 лютого у НБУ повідомили, що російські хакери отримали доступ до бази з 266 999 записами - електронними адресами, телефонами та хешованими паролями користувачів інтернет-магазину нумізматики НБУ. Причиною витоку став злам облікових даних підрядної компанії.