Повний доступ до iPhone: РФ запустила в Україні шпигунську систему DarkSword

Експерти з кібербезпеки б’ють на сполох, адже сотні мільйонів користувачів Apple опинилися під загрозою потенційного викрадення інформації через "потужний програмний експлойт". Ситуація для України є критичною, адже зловмисники змогли зламати сервер українського уряду, розмістивши шкідливий код на ресурсі з доменом ".gov.ua".

Про це повідомляють дослідники Google, iVerify та Lookout.

Що відомо про "зброю" хакерів

Для атаки використовується так званий "експлойт" — це комп'ютерна програма, фрагмент коду або послідовність команд, які використовують вразливості в програмному забезпеченні для проникнення в систему, підвищення привілеїв або порушення роботи. Важливо розуміти, що це не класичний вірус, а складний інструмент для доставлення шкідливого ПЗ.

Нова розробка отримала назву DarkSword. Це повноланцюговий інструмент для повної компрометації пристроїв iOS. Під особливим ударом опинилися "айфони" в Україні, на яких встановлено версії ОС від 18.4 до 18.6.2. Попри існування новішої прошивки 26.3.1, у світі досі налічується близько 270 мільйонів активних гаджетів із вразливим ПЗ.

Російська мова в коді та злам ".gov.ua"

Аналітики iVerify зафіксували, що шпигунські посилання ведуть на ту саму інфраструктуру, яку раніше використовували під час відомої атаки Coruna в Україні. Те, що один із сайтів-джерел має офіційний державний домен .gov.ua, свідчить про успішне проникнення хакерів у внутрішні мережі українських відомств. 

Над ліквідацією загрози вже працює CERT-UA — спеціалізований підрозділ Держспецзв'язку. Головна небезпека DarkSword полягає у його непомітності. Ланцюжки команд дозволяють злочинцям отримати повний контроль над смартфоном фактично без жодних дій з боку користувача.

"На відміну від Coruna, яка, ймовірно, була націлена переважно на викрадення криптовалюти, DarkSword має вигляд інструменту для спостереження та збору розвідданих, який витягує дані, включаючи з паролями Wi-Fi, текстовими повідомленнями, історією дзвінків, місцеперебуванням, історією браузера, SIM-картами та мобільними даними, а також базами даних здоров'я, нотаток і календаря. Однак також шукає криптовалютні гаманці", — кажуть в iVerify.

Хто стоїть за розробкою

Докази причетності РФ є незаперечними. Російські зловмисники залишили код JavaScript без належного захисту. У файлах сервера знайшли коментарі російською мовою, хоча інструкції з розгортання були написані англійською. Це вказує на те, що замовники, розробники та оператори системи можуть бути різними структурами.

Фахівці зазначають, що раніше подібні надзвичайно дорогі технології були доступні лише державним спецслужбам або елітним розвідувальним групам. Проте випадок із DarkSword доводить: на "чорному ринку" з’явилися вторинні продукти, які дозволяють групам із "обмеженішими ресурсами та мотивами" отримувати першокласні інструменти для шпигунства за звичайними громадянами.

Нагадаємо, за даними Financial Times, Китай зламав електронну пошту співробітників впливових комітетів Палати представників Конгресу Сполучених Штатів Америки у межах масштабної кампанії кібершпигунства Salt Typhoon. Кібервторгнення було зафіксоване торік у грудні.