Українські користувачі iPhone опинилися в центрі нової масштабної кібератаки, яку пов’язують із російськими хакерськими угрупованнями. Дослідники кібербезпеки виявили складний інструмент зламу під назвою DarkSword, що дозволяє отримати доступ до особистих даних практично без участі користувача. Про це повідомоляє TechCrunch.
Фахівці зазначають, що йдеться не про поодинокі випадки, а про цілеспрямовану кампанію, яка використовує вразливості iOS і навіть інфраструктуру українських сайтів.
Що таке DarkSword і як він працює
DarkSword — це так комплекс інструментів, які послідовно використовують кілька вразливостей iOS для повного зламу пристрою: на відміну від звичайного шкідливого ПЗ, він не потребує активних дій користувача, може активуватися під час відкриття зараженого сайту та надає зловмисникам повний контроль над iPhone. При цьому ключовою особливістю є швидкодія — інструмент інфікує пристрій, збирає дані й зникає протягом кількох хвилин, що суттєво ускладнює його виявлення.
Хто стоїть за атакою
Дослідники Google, iVerify та Lookout пов’язують цю кампанію з угрупованням UNC6353, яке, ймовірно, має зв’язки з російськими спецслужбами: на це вказують високий рівень технічної складності інструментів, значні ресурси, вкладені в їхню розробку, а також поєднання шпигунських цілей із потенційною фінансовою вигодою. Водночас експерти не виключають, що частина використовуваних рішень могла бути придбана на вторинному ринку кіберзброї.
Які дані під загрозою
DarkSword орієнтований на комплексний збір даних із пристрою користувача: за інформацією дослідників, він може отримувати доступ до паролів і мереж Wi-Fi, фотографій та особистих файлів, повідомлень у месенджерах, зокрема WhatsApp і Telegram, історії браузера, журналів дзвінків і геолокації, а також даних із додатків — нотаток, календаря та сервісів здоров’я. Крім того, інструмент здатен виявляти криптовалютні гаманці, хоча ця функція, ймовірно, не є основною метою атаки.
Атака через українські сайти
Кампанія поширювалася через скомпрометовані вебресурси. Один із сайтів, який перенаправляв користувачів на шкідливий код, мав домен «.gov.ua», що може свідчити про злам державного сервера.
Також дослідники виявили зв’язок із попередньою атакою Coruna, яку раніше використовували російські хакери проти українців.
За оцінками експертів, зараження відбувалося під час відвідування певних сайтів із території України, що вказує на географічно обмежену, але масову кампанію.
