俄罗斯黑客使用新型高级iPhone工具窃取乌克兰人个人数据

据网络安全研究人员称，一个疑似至少部分为俄罗斯政府工作的黑客组织针对乌克兰的iPhone用户，使用一套新型黑客工具窃取其个人数据，并可能窃取加密货币。谷歌以及安全公司iVerify和Lookout的研究人员分析了由名为UNC6353的组织发起的针对乌克兰人的新网络攻击，该攻击涉及被入侵的网站，与本月初发现的一起攻击相关，此次活动使用了名为Darksword的黑客工具包。Darksword的发现表明，针对iPhone的先进、隐蔽且强大的间谍软件可能并不像之前认为的那样罕见，且该工具仅针对乌克兰用户。此前在3月初，谷歌曾披露名为Coruna的复杂iPhone黑客工具包，该工具最初由美国国防承包商L3Harris的Trenchant部门开发，供西方政府（尤其是“五眼”情报联盟国家）使用，后被俄罗斯间谍用于针对乌克兰人，还被中国网络犯罪分子用于窃取加密货币。Darksword工具包旨在窃取密码、照片、WhatsApp和Telegram消息、短信及浏览器历史等个人信息，其特点是感染受害者、窃取信息后迅速消失，在设备上的驻留时间可能仅为数分钟，取决于发现和窃取的数据量。iVerify联合创始人Rocky Cole认为，黑客可能旨在了解受害者的生活模式，属于“突击式”操作。此外，Darksword还被设计用于从流行的钱包应用中窃取加密货币，这对于疑似政府黑客组织而言较为罕见，Lookout指出这可能表明该威胁行为者有经济动机，或俄罗斯国家相关活动已扩展到针对移动设备的财务盗窃，但Cole称暂无证据表明俄罗斯黑客组织实际关心窃取加密货币，仅表明恶意软件具备此功能。Lookout表示，Darksword模块化开发且易于添加新功能，显示其专业设计，Cole认为可能与向俄罗斯政府黑客组织出售Coruna的是同一人。关于幕后黑手，Cole称“所有迹象都指向俄罗斯政府”，Lookout则认为与使用Coruna针对乌克兰人的疑似俄罗斯政府组织为同一团体，UNC6353是资金充足且有联系的威胁行为者，从事符合俄罗斯情报需求的财务收益和间谍活动，可能是俄罗斯犯罪代理。受害者方面，Cole表示恶意软件旨在感染访问特定乌克兰网站且身处乌克兰境内的任何人，并非特别针对性的活动。