+6 Киев
Эксперты проанализировали новую волну кибератак, направленных против украинцев. По их данным, за кампанией стоит группа под названием UNC6353, пишет информагентство.
По данным СМИ, атаки осуществлялись через взломанные веб-сайты и связаны с другой кампанией, разоблаченной ранее в этом месяце. В новой волне использовался инструмент для взлома под названием Darksword, предназначенный для похищения персональных данных пользователей. В частности, речь идет о паролях, фотографиях, сообщениях из мессенджеров (WhatsApp, Telegram, SMS), а также историю браузера, указано в статье.
Как сообщает TechCrunch, особенностью этого вредоносного программного обеспечения является то, что оно не предназначено для длительной слежки. Вирус быстро заражает устройство, собирает информацию и исчезает.
По оценкам исследователей Lookout, время нахождения программы в устройстве составляет всего несколько минут – в зависимости от объема похищенных данных.
По словам соучредителя iVerify Роки Коула, вероятнее всего, хакеры стремились получить данные про образ жизни взломанных пользователей. Такой подход не требует постоянной слежки – достаточно короткой операции по быстрому сбору информации.
Также, по данным агентства, Darksword способен похищать криптовалюту из популярных кошельков, что нетипично для хакерских групп, связанных с российскими спецслужбами. В то же время сейчас нет доказательств, что эту функцию реально использовали.
В Lookout предполагают, что это может свидетельствовать либо о финансовой мотивации, либо о расширении деятельности спецслужб РФ.
СМИ также пишет, что ранее Google сообщала о другом инструменте для взлома iPhone – Coruna. Его использовали сначала государственные структуры, затем российские спецслужбы против украинцев, а затем китайские киберпреступники. Как выяснило TechCrunch, этот инструмент разработан американским оборонным подрядчиком L3Harris, в частности подразделением Trenchant.
По словам бывших сотрудников L3Harris, Coruna создавали для правительств стран альянса Five Eyes – США, Великобритании, Канады, Австралии и Новой Зеландии. Эксперты предполагают, что Darksword может быть связан с этим инструментом или создан тем же разработчиком.
По словам экспертов, все признаки указывают на причастность России. В Lookout отмечают, что группа UNC6353 хорошо финансируется и объединяет шпионскую деятельность с финансовыми преступлениями в соответствии с интересами российской разведки. Также предполагают, что она может действовать как криминальный прокси.
По данным TechCrunch, вредоносное ПО не было направлено на конкретных лиц. Оно заражало любого, кто посещал некоторые украинские сайты с территории Украины. Это свидетельствует о массовом характере кампании, хотя и ограниченном географически.
