Ruși surprinși furând date personale de la ucraineni
Un grup de hackeri, suspectat că ar lucra în parte pentru guvernul rus, a vizat utilizatorii de iPhone din Ucraina cu un nou set de instrumente de hackuire, concepute pentru a fura date personale și, potențial, criptomonedă, conform cercetătorilor în securitate cibernetică.
Cercetări și campanii de hacking
Cercetătorii de la Google, împreună cu firmele de securitate iVerify și Lookout, au analizat noi atacuri cibernetice lansate împotriva ucraineanilor de un grup identificat ca UNC6353. Aceștia au investigat site-uri compromise în cadrul unei campanii de hacking care este legată de una descoperită anterior în această lună. Această campanie recentă a folosit un toolkit de hacking denumit Darksword.
Descoperirea Darksword
Descoperirea Darksword, care urmează unei unelte de hacking similare, sugerează că spyware-ul avansat și puternic pentru iPhone-uri nu este atât de rar pe cât se credea anterior. Darksword a vizat exclusiv utilizatorii din Ucraina, ceea ce indică o anumită restricție în ceea ce ar fi putut fi o campanie de hacking la scară largă la nivel global.
Instrumente de hacking avansate
În martie, Google a dezvăluit detalii despre un toolkit sofisticat de hackuire a iPhone-urilor, numit Coruna, utilizat inițial de un client guvernamental al unui furnizor de tehnologie de supraveghere, apoi de spioni ruși și, în cele din urmă, de criminali cibernetici chinezi. Coruna a fost dezvoltată de contractorul de apărare american L3Harris, în special de departamentul său de hacking și tehnologie de supraveghere, Trenchant.
Funcționalitățile Darksword
Toolkitul Darksword a fost conceput pentru a fura informații personale, precum parole, fotografii, mesaje de pe WhatsApp, Telegram și SMS, precum și istoricul de navigare. Spre deosebire de alte malware-uri, Darksword nu a fost proiectat pentru supraveghere persistentă, ci pentru a infecta victimele, a fura informații și a dispărea rapid. Timpul de „rezidență” pe dispozitiv este estimat la câteva minute, în funcție de cantitatea de date descoperite și exfiltrate.
Motivația hackerilor
Rocky Cole, co-fondatorul iVerify, a sugerat că hackerii erau interesați de obiceiurile de viață ale victimelor, fără a necesita supraveghere constantă, ci mai degrabă o operațiune de tip „smash-and-grab”. Darksword avea și capacitatea de a fura criptomonedă din aplicații populare de portofel, ceea ce este neobișnuit pentru un grup de hacking suspectat a fi sprijinit de un guvern.
Implicarea guvernului rus
Cercetătorii de la Lookout au menționat că acest actor de amenințare ar putea fi motivat financiar sau că activitățile legate de statul rus s-ar fi extins în furtul financiar, țintind dispozitive mobile. Cole a afirmat că nu există dovezi că grupul de hacking ar fi fost interesat cu adevărat de furtul de criptomonedă, ci că malware-ul ar fi putut fi utilizat în acest scop.
Profilul grupului UNC6353
Se suspectează că grupul UNC6353 este bine finanțat și conectat, desfășurând atacuri pentru câștiguri financiare și spionaj, conform cerințelor de informații ale Rusiei. Malware-ul a fost proiectat să infecteze pe oricine vizita anumite site-uri ucrainene, fără a fi o campanie foarte specifică.
Concluzie
Aceste descoperiri subliniază riscurile de securitate cibernetică cu care se confruntă utilizatorii din Ucraina, evidențiind o potențială expansiune a activităților de hacking sprijinite de state, care nu doar că vizează informații sensibile, ci și furtul financiar prin intermediul tehnologiilor avansate.



