+5 Київ
Експерти проаналізували нову хвилю кібератак, спрямованих проти українців. За їхніми даними, за кампанією стоїть група з назвою UNC6353, пише інформагентство.
За даними ЗМІ, атаки здійснювали через зламані вебсайти й пов'язані з іншою кампанією, викритою раніше цього місяця. У новій хвилі використовували інструмент для зламу під назвою Darksword. Цей інструмент призначений для викрадення персональних даних користувачів. Зокрема, ідеться про паролі, фотографії, повідомлення з месенджерів (WhatsApp, Telegram, смс), а також історію браузера, зазначено у статті.
Як повідомляє TechCrunch, особливістю цього шкідливого програмного забезпечення є те, що воно не призначене для тривалого стеження. Вірус швидко заражає пристрій, збирає інформацію й зникає.
За оцінками дослідників Lookout, час перебування програми на пристрої становить лише кілька хвилин – залежно від обсягу викрадених даних.
За словами співзасновника iVerify Рокі Коула, найімовірніше, хакери прагнули дістати дані про спосіб життя зламаних користувачів. Такий підхід не потребує постійного стеження – досить короткої операції зі швидким збиранням інформації.
Також, за даними агентства, Darksword здатен викрадати криптовалюту з популярних гаманців, що є нетиповим для хакерських груп, пов'язаних із російськими спецслужбами. Водночас зараз немає доказів, що цю функцію реально використовували.
У Lookout припускають, що це може свідчити або про фінансову мотивацію, або про розширення діяльності спецслужб РФ.
ЗМІ також пише, що раніше Google повідомляв про інший інструмент для зламу iPhone – Coruna. Його використовували спочатку державні структури, потім російські спецслужби проти українців, а згодом китайські кіберзлочинці. Як з'ясувало TechCrunch, цей інструмент розробив американський оборонний підрядник L3Harris, зокрема підрозділ Trenchant.
За словами колишніх співробітників L3Harris, Coruna створювали для урядів країн альянсу Five Eyes – США, Великобританії, Канади, Австралії й Нової Зеландії. Експерти припускають, що Darksword може бути пов'язаний із цим інструментом або його створив той самий розробник.
За словами експертів, усі ознаки вказують на причетність Росії. У Lookout зазначають, що групу UNC6353 добре фінансують, вона поєднує шпигунську діяльність із фінансовими злочинами, відповідно до інтересів російської розвідки. Також припускають, що вона може діяти як кримінальний проксі.
За даними TechCrunch, шкідливе ПЗ не було спрямоване на конкретних осіб. Воно заражало будь-кого, хто відвідував певні українські сайти з території України. Це свідчить про масовий характер кампанії, хоча й обмежений географічно.
