Мільйони «айфонів» в Україні під загрозою через шпигунське ПЗ? Зловмисники могли зламати сервер уряду — звіт
Сотні мільйонів користувачів Apple опинилися під загрозою потенційного викрадення інформації через «потужний програмний експлойт». В Україні один із сайтів, який перенаправляє на шкідливий код, має домен «.gov.ua» — це означає, що зловмисники змогли зламати сервер українського уряду.
Про це пишуть дослідники Google, iVerify та Lookout.
«Експлойт» — це комп’ютерна програма, фрагмент коду або послідовність команд, які використовують вразливості в програмному забезпеченні для проникнення в систему, підвищення привілеїв або порушення роботи. Вони не є власне вірусами, а служать інструментом доставлення шкідливого ПЗ.
Дослідники виявили повноланцюговий експлойт iOS (мобільної операційної системи від Apple) для повної компрометації пристроїв. Схоже, цей експлойт називається DarkSword і націлений, зокрема, на «айфони» в Україні, що досі працюють на версіях iOS від 18.4 до 18.6.2. Ці версії досі працюють на 270 мільйонах пристроїв, попри те, що вже доступна версія 26.3.1.
Атаку помітили завдяки підозрілій URL-адресі, яка була на тій самій інфраструктурі, що і російські кіберзлочинці, які раніше проводили атаку Coruna в Україні.
За даними iVerify, один із сайтів, який перенаправляє на шкідливий код, має домен .gov.ua, що означає, що зловмисники змогли зламати сервер українського уряду. Компанія повідомила, що вже працювала над цим питанням разом зі CERT UA — це спеціалізований підрозділ Державного центру кіберзахисту Держслужби спецзв’язку та захисту інформації України.
Ланцюжки експлойтів, подібні до того, що використовується в DarkSword, дозволяють зловмисникам отримати повний доступ до пристрою користувача практично без жодних дій з його боку.
«На відміну від Coruna, яка, ймовірно, була націлена переважно на викрадення криптовалюти, DarkSword має вигляд інструменту для спостереження та збору розвідданих, який витягує дані, включно з паролями Wi-Fi, текстовими повідомленнями, історією дзвінків, місцеперебуванням, історією браузера, SIM-картами та мобільними даними, а також базами даних здоров’я, нотаток і календаря. Однак також шукає криптовалютні гаманці», — кажуть в iVerify.
Як зазначається, російські зловмисники, які використовують DarkSword, залишили весь код JavaScript без захисту та доступним публічно. В коді сервера інфільтрації були коментарі російською мовою, а в базі коду експлойту — оригінальні імена змінних і інструкції з розгортання англійською. Ймовірно, оператор і розробник є різними суб'єктами.
Зазвичай, складні та надзвичайно дорогі набори експлойтів доступні лише державним організаціям та компаніям, які створюють інструменти для правоохоронних органів та розвідувальних служб. Але ці викриття DarkSword та Coruna показують, що існує ринок вторинних продуктів для таких експлойтів, який дозволяє групам з «обмеженішими ресурсами та мотивами», ніж цілеспрямоване шпигунство, отримувати першокласні експлойти та використовувати їх проти користувачів мобільних пристроїв.