Протягом останніх місяців українські користувачі iPhone ставали жертвами витонченої хакерської операції, яку організували російські кіберзлочинці. Про це повідомили провідні дослідники кібербезпеки з Google та компаній iVerify і Lookout. Розслідування виявило складну схему крадіжки особистих даних, яка працювала майже непомітно для жертв.
Як працювала атака
За інформацією дослідників, за кіберкампанією стоїть група UNC6353, діяльність якої експерти пов’язують із російськими спецслужбами. Хакери використовували інструмент під назвою Darksword, розроблений спеціально для швидкого викрадення персональних даних та можливого доступу до криптовалюти користувачів. Механізм атаки виявився простим, але ефективним: зловмисники скомпрометували кілька українських вебсайтів, перетворивши їх на пастки для відвідувачів.
Достатньо було зайти на такий заражений ресурс з iPhone, щоб пристрій тимчасово інфікувався шкідливим програмним забезпеченням. Після цього починалася активна фаза збору інформації. Darksword витягував паролі, особисті фотографії, історію переглядів у браузері та дані з популярних месенджерів, включаючи WhatsApp і Telegram. Окрема увага приділялася мобільним криптовалютним гаманцям, що вказує на подвійну мету операції.
Найбільш вражаючою особливістю цього шкідливого ПЗ стала його швидкість та непомітність. На відміну від класичних шпигунських програм, які намагаються закріпитися в системі надовго, Darksword працював за принципом блискавичного удару. Увесь цикл від інфікування до збору даних та самознищення міг тривати лише кілька хвилин. Це значно ускладнює виявлення атаки стандартними засобами захисту.
Зв’язок із попередніми інструментами
Розслідування виявило тривожний зв’язок між Darksword та іншим інструментом для злому iPhone під назвою Coruna. Про Coruna раніше повідомляла команда дослідників з Google, але деталі його походження викликали серйозне занепокоєння в експертному середовищі. За первісною інформацією, цей інструмент розробила американська оборонна компанія L3Harris для використання урядовими клієнтами США.
Проте з часом Coruna потрапив до рук російських спецслужб та кіберзлочинців, що стало прикладом небезпечної міграції технологій. Експерти з кібербезпеки припускають, що Darksword може бути або пов’язаним із тим самим джерелом, або представляти подальший розвиток цього інструменту. Це підтверджує давню проблему контролю за розповсюдженням потужних хакерських технологій, які створюються для легітимних цілей.
Аналітики Lookout звертають увагу на модульну структуру Darksword, що робить його особливо небезпечним. Така архітектура дозволяє швидко додавати нові функції та адаптувати інструмент під конкретні завдання. Це свідчить про професійний підхід розробників та наявність значних ресурсів для підтримки й удосконалення шкідливого ПЗ.
Подвійна мета операції
Дослідники відзначають унікальну особливість діяльності групи UNC6353 – поєднання розвідувальних та фінансових цілей в одній кампанії. Традиційно кібероперації спецслужб зосереджуються на збиранні інформації, тоді як кримінальні угруповання переслідують виключно матеріальну вигоду. Проте ця група демонструє гібридний підхід, що ускладнює класифікацію її діяльності.
З одного боку, збір даних з месенджерів, фотографій та історії браузера вказує на шпигунські цілі. Така інформація може використовуватися для профілювання цілей, виявлення зв’язків між людьми та планування подальших операцій. З іншого боку, спроби викрадення криптовалюти свідчать про фінансову мотивацію, характерну для організованих кіберзлочинних угруповань.
Така двоїстість може пояснюватися кількома факторами. Можливо, російські спецслужби дозволяють хакерським групам частково фінансувати свою діяльність через кіберзлочини. Альтернативна гіпотеза передбачає використання єдиної інфраструктури різними групами для різних цілей. Експерт з iVerify Рокі Коул підкреслює, що атака не була цільовою – їй могла піддатися будь-яка людина, що заходила на заражені сайти з території України.
Масштаб загрози
Невибірковий характер атаки робить її особливо небезпечною для звичайних користувачів. На відміну від цільових кампаній проти конкретних осіб чи організацій, ця операція використовувала метод масового збору даних. Будь-який український власник iPhone, що відвідав скомпрометований сайт, автоматично ставав жертвою. Це означає, що потенційно постраждати могли тисячі людей.
За оцінками експертів, такий підхід вказує на автоматизовану систему збору та обробки інформації. Хакери створили цифрову “драгу”, що збирала все підряд, після чого, ймовірно, застосовували автоматичну фільтрацію для виявлення цінних даних. Це дозволяє ефективно працювати з великими обсягами викраденої інформації без необхідності ручного аналізу кожного випадку.
Професійність виконання операції підтверджується технічною досконалістю Darksword. Створення інструменту, що може інфікувати iOS – одну з найбезпечніших мобільних платформ – вимагає глибоких знань та значних ресурсів. Apple постійно закриває вразливості у своїй операційній системі, тому успішна експлуатація таких слабких місць свідчить про високу кваліфікацію зловмисників.
Методи верифікації та джерела
Інформація про цю кіберкампанію надійшла від кількох незалежних дослідницьких команд, що працюють у сфері кібербезпеки. Спеціалісти Google TAG (Threat Analysis Group) вели моніторинг активності підозрілих груп і першими виявили аномальну поведінку, пов’язану з інфікуванням iPhone. Паралельно компанія iVerify, що спеціалізується на безпеці мобільних пристроїв, отримала зразки шкідливого коду для аналізу.
Команда Lookout провела детальне технічне дослідження модульної структури Darksword та його можливостей. Публікація в TechCrunch, авторитетному виданні з технологічних питань, об’єднала висновки всіх трьох дослідницьких груп. Така множинна верифікація значно підвищує достовірність інформації про загрозу.
Дослідники використовували методи аналізу шкідливого коду, моніторинг мережевої активності та вивчення інфраструктури, що використовувалася для атак. Зв’язок групи UNC6353 з російськими структурами встановлювався на основі технічних індикаторів, методології роботи та геополітичного контексту операції. Проте варто відзначити, що пряме підтвердження участі конкретних російських організацій зазвичай залишається класифікованою інформацією.
Захист та рекомендації
Хоча Apple не зробила офіційної заяви щодо цієї конкретної загрози, компанія традиційно швидко реагує на виявлені вразливості. Ймовірно, вже випущені або готуються оновлення безпеки, що закривають використані експлойти. Це підкреслює важливість регулярного оновлення операційної системи – один з базових принципів цифрової безпеки.
Для звичайних користувачів основна рекомендація залишається простою: встановлюйте всі оновлення iOS одразу після їх випуску. Будьте обережними при відвідуванні малознайомих вебсайтів, особливо якщо браузер попереджає про потенційні проблеми з безпекою. Використовуйте двофакторну автентифікацію для всіх важливих облікових записів, особливо тих, що пов’язані з фінансами та криптовалютою.
Організаціям, що працюють з чутливою інформацією, варто розглянути впровадження рішень для моніторингу безпеки мобільних пристроїв. Такі інструменти можуть виявляти аномальну поведінку та сигналізувати про можливе компрометування. Регулярні перевірки пристроїв співробітників допомагають виявити сліди попередніх атак навіть після того, як шкідливе ПЗ видалило себе.
Ця кіберкампанія нагадує про постійну еволюцію загроз у цифровому просторі. Навіть власники iPhone, які традиційно вважалися захищенішими від хакерів, повинні залишатися пильними. Війна в кіберпросторі йде паралельно з реальними бойовими діями, і кожен користувач стає потенційною ціллю в цьому протистоянні.
