Група хакерів, імовірно пов'язана з російським урядом, атакувала сотні мільйонів користувачів iPhone за допомогою нового набору інструментів Darksword?.

Про це пишуть дослідники iVerify, Lookout та Google.

Користувачі Apple, зокрема і в Україні опинилися під загрозою потенційного викрадення інформації через програмний експлойт?. 

Дослідники зʼязували, що нові кібератаки здійснені групою UNC6353. Зловмисники використовували скомпрометовані вебсайти для поширення хакерського інструментарію Darksword.

За даними фахівців, Darksword створений для викрадення особистої інформації, зокрема паролів, фотографій, історій браузера, а також повідомлень з WhatsApp, Telegram та SMS.

DarkSword, повністю написаний на JavaScript, містить шість вразливостей у двох ланцюжках експлойтів. За даними iVerify, починаючи з WebKit і рухаючись вниз до ядра, він досягає повного зламу iPhone за допомогою «елегантних методів, яких раніше ніколи не було публічно». 

Оскільки програма не призначена для тривалого стеження, вона діє за принципом швидкого пограбування: час перебування вірусу на пристрої обчислюється хвилинами, протягом яких він інфікує систему, викрадає дані та швидко зникає. 

За даними Lookout, в Україні один із сайтів, який перенаправляє на шкідливий код, має домен «gov.ua» — це означає, що зловмисники могли зламати сервер українського уряду.

У iVerify зазначили, що вже працювали над цим питанням разом зі CERT UA?.

Зв'язок із попередніми атаками

Поява Darksword відбулася невдовзі після виявлення іншого  інструменту для злому iPhone — Coruna.

На початку березня у Google повідомили, що Coruna спочатку використовувався урядовим клієнтом, потім російськими шпигунами проти українців, а згодом — китайськими кіберзлочинцями.