俄罗斯人被抓利用新型高级 iPhone 黑客工具窃取乌克兰人的个人数据

Source: TechCrunch

Overview

据网络安全研究人员称，一群被怀疑至少部分为俄罗斯政府工作的黑客，针对乌克兰的 iPhone 用户使用了一套新型黑客工具，旨在窃取个人数据并可能获取加密货币。

Source: …

工具和活动

来自 Google、iVerify 和 Lookout 的研究人员分析了一个仅以 UNC6353 为标识的组织针对乌克兰人的新网络攻击。他们对被入侵的网站进行调查后发现，这是一场在本月早些时候曝光的先前行动基础上进一步扩展的活动。最新的行动使用了这些公司称为 Darksword 的黑客工具包。

在此前发现类似工具包之后，Darksword 的出现表明，针对 iPhone 的高级、隐蔽且强大的间谍软件可能比之前认为的更为常见。然而，Darksword 仅被观察到针对乌克兰用户，这表明其范围比大规模全球性行动更为有限。

三月初，Google 透露了一款名为 Coruna 的复杂 iPhone 黑客工具包的细节。该搜索巨头称，这款工具最初被一家监控技术供应商的政府客户使用，随后被针对乌克兰人的俄罗斯间谍使用，之后又被中国网络犯罪分子用于窃取加密货币。TechCrunch 后来报道，这款工具最初是由美国国防承包商 L3Harris 开发的，具体由其黑客与监控技术部门 Trenchant 负责。

据前 L3Harris 员工透露，Coruna 最初是为西方政府使用而设计的，尤其是 五眼联盟（澳大利亚、加拿大、新西兰、美国和英国）的成员。

研究人员现在表示，他们已经发现了一场使用更新工具、利用不同漏洞的相关活动。

Darksword 能力

• 数据窃取 – 密码、照片、WhatsApp、Telegram 和短信，以及浏览器历史记录。
• 快速击杀操作 – 不是为持续监视而设计；它感染设备，提取数据，然后消失。
• 加密货币窃取 – 能从流行的钱包应用中窃取资金，这对一个被怀疑与政府有关的组织来说是异常特征。

Lookout 指出，Darksword 在设备上的“停留时间可能在几分钟范围内，取决于它发现并外泄的数据量。”

对于 iVerify 联合创始人 Rocky Cole 来说，最可能的动机是一次“抢夺式”行动，以了解受害者的生活模式，而无需持续监控。Cole 将其描述为一次“抢夺式操作”（TechCrunch）。

归因与动机

• 所有迹象都指向俄罗斯政府，据科尔称。

• Lookout 将使用 Coruna 对乌克兰人进行攻击的同一组织认定为 Darksword 背后的行为者，并将其描述为 疑似与俄罗斯政府对齐的威胁。

• Lookout 首席安全研究员 Justin Albrecht 说：

  “UNC6353 是一个资金充足且关系网广泛的威胁行为者，进行攻击以获取金融利益并进行间谍活动，符合俄罗斯情报需求。我们认为可以认为 UNC6353 可能是俄罗斯犯罪代理人，因为其同时追求金融盗窃和情报收集的双重目标。”

• 加入加密货币窃取功能可能表明 金融动机，或是俄罗斯对齐活动向针对移动设备的金融盗窃扩展。然而，科尔指出 没有证据 表明该组织实际进行过加密货币盗窃；该能力仅仅是存在。

受害者定位

Darksword 被设计用于感染任何 从乌克兰境内 访问特定乌克兰网站的用户。感染向量并非高度针对性；相反，它依赖于用户在乌克兰境内访问被劫持的网站。