Un grupo de piratas informáticos sospechosos de colaborar, al menos en parte, con el gobierno ruso atacó a usuarios de iPhone en Ucrania, utilizando una serie de herramientas de piratería diseñadas no sólo para robar datos personales sino también potencialmente para robar criptomonedas, según investigadores de ciberseguridad.
Investigadores de Google y las empresas de seguridad iVerify y Lookout analizaron un nuevo ciberataque contra ucranianos lanzado por un grupo identificado únicamente como UNC6353. Los investigadores investigaron los sitios web comprometidos en la campaña de piratería y, según dicen, están relacionados con un sitio web descubierto a principios de este mes. Esta última campaña utilizó un conjunto de herramientas de piratería que la empresa llama Darksword.
El descubrimiento de Darksword, que sigue a conjuntos de herramientas de piratería similares, sugiere que el software espía avanzado, sigiloso y potente para iPhone puede no ser tan raro como se pensaba anteriormente. Aún así, Dark Sword solo apuntó a usuarios en Ucrania, lo que sugiere cierta moderación frente a lo que podría haber sido una campaña de piratería a gran escala dirigida a usuarios de todo el mundo.
A principios de marzo, Google reveló detalles de un sofisticado kit de herramientas para hackear iPhone llamado Coruña. El gigante de las búsquedas dijo que la herramienta fue utilizada primero por los clientes gubernamentales del proveedor de tecnología de vigilancia, luego por espías rusos dirigidos a ucranianos y, finalmente, por ciberdelincuentes chinos que buscaban robar criptomonedas. Como reveló más tarde TechCrunch, el conjunto de herramientas de piratería fue desarrollado originalmente por el contratista de defensa estadounidense L3Harris, específicamente su brazo de tecnología de vigilancia y piratería Trenchant.
Ex empleados de L3Harris familiarizados con las herramientas de piratería de iPhone de la compañía dicen que Coruña fue diseñado originalmente para ser utilizado por los gobiernos occidentales, particularmente aquellos en la llamada alianza de inteligencia Five Eyes formada por Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido.
Ahora, los investigadores dijeron que descubrieron una campaña relacionada que utiliza modernas herramientas de piratería que explotan una variedad de vulnerabilidades.
Los investigadores dicen que el kit de herramientas Darksword fue creado para robar contraseñas y otra información personal. Fotos; WhatsApp, Telegram, Mensajes de Texto. e historial del navegador. Curiosamente, Darksword no fue diseñado para una vigilancia continua, sino más bien para infectar a las víctimas, robar información y desaparecer rápidamente.
consulta
¿Quiere más información sobre Darksword, Coruña u otras herramientas de software espía y piratería del gobierno? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde su dispositivo no laboral en Signal (+1 917 257 1382) o en Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
El «tiempo en el dispositivo de Darksword probablemente esté en el rango de varios minutos, dependiendo de la cantidad de datos descubiertos y filtrados», escribieron los investigadores de Lookout.
Para Rocky Cole, cofundador de iVerify, la explicación más probable es que los piratas informáticos estaban interesados en conocer los patrones de vida de sus víctimas y, en lugar de requerir vigilancia continua, se trataba más bien de una operación de bofetada y agarre.
Darksword también fue diseñado para robar criptomonedas de aplicaciones de billetera populares, lo cual es inusual para un presunto grupo de piratería gubernamental.
«Esto puede indicar que este actor tiene motivaciones financieras, o que esta actividad (posiblemente) alineada con el Estado ruso se está expandiendo hacia el robo financiero dirigido a dispositivos móviles», dijo Lookout en el informe.
Sin embargo, Cole le dijo a TechCrunch que no hay evidencia de que el grupo de hackers ruso estuviera realmente interesado en robar criptomonedas, solo que el malware pudo haber sido utilizado para ese propósito.
Según Lookout, el malware está desarrollado y diseñado profesionalmente para ser modular y fácil de agregar nuevas funciones. Cole dijo que cree que la persona que vendió Koruna al grupo de piratería del gobierno ruso también pudo haber vendido Dark Sword.
En cuanto a quién está detrás de Dark Sword, Cole dijo que «todas las señales apuntan al gobierno ruso», pero Lookout dijo que es el mismo grupo que usó Koruna contra los ucranianos y también se sospecha que es un grupo del gobierno ruso.
«UNC6353 es un actor de amenazas bien financiado y bien conectado que realiza ataques para obtener ganancias financieras y espionaje de acuerdo con los requisitos de inteligencia rusos», dijo a TechCrunch Justin Albrecht, investigador principal de seguridad de Lookout. «Dado su doble objetivo de robo financiero y recopilación de inteligencia, creemos que se puede argumentar que UNC6363 puede ser un agente criminal ruso».
En cuanto a las víctimas, Cole dijo que el malware fue diseñado para infectar a cualquier persona dentro de Ucrania siempre que accediera a sitios web ucranianos específicos, y no era una campaña particularmente dirigida.
Source link
