Um grupo de hackers suspeitos de trabalhar, pelo menos em parte, para o governo russo atacou usuários de iPhone na Ucrânia com um novo conjunto de ferramentas de hacking projetadas para roubar seus dados pessoais, bem como potencialmente roubar criptomoedas, de acordo com pesquisadores de segurança cibernética.
Pesquisadores em Google e empresas de segurança iVerificar e Olhe analisou novos ataques cibernéticos contra ucranianos lançados por um grupo identificado apenas como UNC6353. Os pesquisadores analisaram sites comprometidos em uma campanha de hackers que, dizem, está relacionada a outra descoberta no início deste mês. Esta campanha mais recente usou um kit de ferramentas de hacking chamado Darksword.
A descoberta do Darksword, que segue a de um kit de ferramentas de hacking semelhante, sugere que spyware avançado, furtivo e poderoso para iPhones pode não ser tão raro como se pensava anteriormente. Mesmo assim, Darksword tinha como alvo apenas usuários na Ucrânia, o que implica alguma restrição no que poderia ter sido uma campanha de hackers em larga escala visando usuários em todo o mundo.
No início de março, o Google revelou detalhes de um sofisticado kit de ferramentas para hackear iPhones chamado Coruna. O gigante das buscas disse que a ferramenta foi usada primeiro por um cliente governamental de um fornecedor de tecnologia de vigilância, depois por espiões russos visando ucranianos e, finalmente, por cibercriminosos chineses que procuravam roubar criptomoedas. Como o TechCrunch revelou mais tarde, o kit de ferramentas de hacking foi originalmente desenvolvido pela empresa de defesa norte-americana L3Harris, em particular pelo seu departamento de tecnologia de hacking e vigilância, Trenchant.
O Coruna foi originalmente projetado para uso por governos ocidentais, em particular aqueles que fazem parte da chamada aliança de inteligência Five Eyes, composta por Austrália, Canadá, Nova Zelândia, Estados Unidos e Reino Unido, de acordo com ex-funcionários da L3Harris com conhecimento das ferramentas de hacking do iPhone da empresa.
Agora, os pesquisadores disseram que descobriram uma campanha relacionada usando ferramentas de hacking mais recentes, explorando diferentes vulnerabilidades.
O kit de ferramentas Darksword, segundo os pesquisadores, foi construído para roubar informações pessoais, como senhas; fotos; WhatsApp, Telegram e mensagens de texto; e histórico do navegador. Curiosamente, Darksword não foi projetado para vigilância persistente, mas sim para infectar vítimas, roubar informações e desaparecer rapidamente.
Contate-nos
Você tem mais informações sobre Darksword, Coruna ou outras ferramentas governamentais de hacking e spyware? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou por e-mail.
O “tempo de permanência do Darksword no dispositivo é provavelmente na faixa de minutos, dependendo da quantidade de dados que ele descobre e exfiltra”, escreveram os pesquisadores da Lookout.
Para Rocky Cole, cofundador do iVerify, a explicação mais provável é que os hackers estavam interessados em aprender sobre o padrão de vida das vítimas, o que não exigia que fizessem vigilância constante, mas sim uma operação de esmagar e agarrar.
Darksword também foi projetado para roubar criptomoedas de aplicativos de carteira populares, algo incomum para um grupo suspeito de hackers do governo.
“Isso pode indicar que este ator de ameaça tem motivação financeira ou, alternativamente, pode indicar que esta (provável) atividade alinhada ao Estado russo se expandiu para roubo financeiro direcionado a dispositivos móveis”, escreveu a Lookout em seu relatório.
Mas, disse Cole ao TechCrunch, não há evidências de que o grupo de hackers russo realmente se importasse em roubar criptografia, apenas que o malware poderia ter sido usado para isso.
O malware foi desenvolvido profissionalmente para ser modular e facilitar a adição de novas funcionalidades, o que mostra que foi projetado profissionalmente, de acordo com a Lookout. Cole disse acreditar que é possível que a mesma pessoa que vendeu Coruna ao grupo de hackers do governo russo também tenha vendido Darksword.
Em termos de quem estava por trás do Darksword, para Cole “todos os sinais apontam para o governo russo”, enquanto Lookout disse que é o mesmo grupo que usou Coruna contra os ucranianos, também um grupo suspeito do governo russo.
“UNC6353 é um ator de ameaças bem financiado e conectado, conduzindo ataques para ganhos financeiros e espionagem em alinhamento com os requisitos de inteligência russos”, disse Justin Albrecht, principal pesquisador de segurança da Lookout, ao TechCrunch. “Acreditamos que se pode argumentar que UNC6363 é potencialmente um representante criminal russo, dados os objetivos duplos de roubo financeiro e coleta de inteligência.”
Quanto às vítimas, Cole disse que o malware foi projetado para infectar qualquer pessoa que visitasse determinados sites ucranianos, desde que os visitasse dentro da Ucrânia, por isso não foi uma campanha particularmente direcionada.
