O grupare de hackeri cu presupuse legături guvernamentale rusești a lansat o nouă campanie de atacuri cibernetice împotriva utilizatorilor de iPhone din Ucraina. Cercetătorii de la Google, alături de firmele de securitate iVerify și Lookout, au identificat un set de instrumente de piraterie, conceput special pentru a extrage rapid informații personale. Echipa responsabilă pentru aceste intruziuni acționează sub indicativul tehnic UNC6353.
Se pare că versiunile iOS afectate sunt unele mai vechi, de la iOS 18.4, până la iOS 18.6.2. Cei care sunt la zi cu actualizările pe telefoanele Apple nu pot fi atacați prin intermediul Dark Sword. De altfel, Apple a tot corectat vulnerabilități folosite în astfel de scopuri în ultimele câteva luni, de la lansarea iOS 26. Săptămâna trecută, Apple a lansat chiar și update-uri pentru versiuni mai vechi de iOS, precum 15.8.7, care corecta vulnerabilitatea Coruna. Această versiune funcționează inclusiv pe dispozitive precum iPhone 6S, lansate în 2015.
Noua amenințare informatică poartă numele de Darksword și reprezintă un pas înainte în complexitatea atacurilor cibernetice de pe iOS. Această descoperire sugerează că programele avansate de spionaj destinate sistemelor de operare mobile nu mai sunt o raritate în zonele de conflict. Utilizatorii devin victime prin simpla accesare a unor site-uri web compromise, condiția principală fiind ca aceștia să navigheze de pe teritoriul Ucrainei.
Spre deosebire de alte soluții de supraveghere pe termen lung, Darksword funcționează pe un principiu mult mai agresiv și eficient. Software-ul nu este proiectat pentru a monitoriza constant o țintă, ci pentru a infecta dispozitivul, a sustrage datele și a se șterge imediat după finalizarea operațiunii. Software-ul se regăsește pe telefonul victimei doar câteva minute.
În acest interval scurt, codul extrage o cantitate impresionantă de informații private din memoria telefonului. Lista datelor vizate include parole salvate, galerii foto, istoricul de navigare web, dar și conversații din aplicații criptate precum WhatsApp și Telegram. Atacatorii par să fie interesați în primul rând de programul zilnic al victimelor, adoptând o tactică rapidă de intruziune.
Campania actuală nu este un incident izolat, ci o continuare a unei serii de atacuri descoperite la începutul lunii martie. Atunci, specialiștii au identificat un alt instrument de piraterie sofisticat, denumit Coruna. În mod ironic, arhitectura inițială a acelui software fusese dezvoltată de contractorul american din domeniul apărării L3Harris, mai exact de departamentul său tehnologic Trenchant.
Acel produs digital era destinat exclusiv guvernelor occidentale din alianța de informații Five Eyes. Cu toate acestea, el a ajuns ulterior în mâinile spionilor ruși și ale hackerilor chinezi. Experții sunt de părere că există o probabilitate ridicată ca aceeași entitate care a facilitat transferul tehnologiei Coruna către gruparea rusă să fi furnizat și noul instrument Darksword.
Un aspect neobișnuit al acestui cod malițios este capacitatea sa de a viza și extrage fonduri din portofelele virtuale de criptomonede instalate pe telefoane. Această caracteristică este atipică pentru atacatorii afiliați unui stat, care se concentrează de obicei strict pe spionaj. Justin Albrecht, cercetător principal la Lookout, a menționat că UNC6353 este un grup bine finanțat care operează în conformitate cu cerințele serviciilor de informații ruse.
Arhitectura tehnică a virusului Darksword este una modulară și bine structurată de către dezvoltatori profesioniști. Această flexibilitate permite adăugarea rapidă de noi funcționalități, transformând software-ul într-o amenințare cibernetică în continuă evoluție.
