Rosjanie włamują się do iPhone'ów w Ukrainie. Wykradli program szpiegowski USA

Eksperci z Google Threat Intelligence Group (GTIG) oraz firm iVerify i Lookout, zajmujących się cyberbezpieczeństwem, przeanalizowali serię ataków przeprowadzonych na cele ukraińskie przez grupę hakerską zidentyfikowaną jako UNC6353. Z ich ustaleń wynika, że najnowsza kampania, wykorzystująca pakiet narzędzi o nazwie Darksword, jest powiązana z operacją wykrytą na początku marca 2026. Powiązana z rosyjskim rządem grupa wykorzystuje Darksword - zaawansowane i trudne do wykrycia oprogramowanie szpiegujące (spyware) na iOS.

Złośliwe oprogramowanie na iPhone'a może być zatem powszechniejsze, niż wcześniej przypuszczano. System ma luki w zabezpieczeniach (podatności), które są znane hakerom, ale prawdopodobnie nie firmie Apple. Ta wiedza może być przedmiotem nielegalnego handlu.

Opisywany incydent miał miejsce po ujawnieniu przez Google szczegółów dotyczących innego pakietu narzędzi do hakowania iPhone'a o nazwie Coruna. Pierwotnie opracowane przez amerykańskiego kontrahenta obronnego L3Harris dla rządów sojuszu Five Eyes (USA, UK, Australii, Kanady, Nowej Zelandii), trafił on ostatecznie w ręce rosyjskich szpiegów oraz chińskich cyberprzestępców. Eksperci przypuszczają, że za sprzedażą obu zestawów narzędzi stronie rosyjskiej może stać ten sam podmiot.

Mimo potężnych możliwości, kampania ograniczyła swój zasięg jedynie do użytkowników przebywających na terenie Ukrainy, zamiast dążyć do infekowania urządzeń na skalę światową.

Darksword został zaprojektowany, aby wykradać hasła, zdjęcia, historię przeglądania oraz treści wiadomości z aplikacji takich jak WhatsApp, Telegram czy SMS. Narzędzie to nie służy do długotrwałej inwigilacji jak opisywany przez nas wcześniej Pegasus. Sprawdza się on w błyskawicznych operacjach wykradania danych. Jak zauważyli badacze z Lookout, "czas przebywania na urządzeniu prawdopodobnie mieści się w zakresie minut w zależności od ilości danych, które odkryje i wydobędzie".

Według ekspertów zestaw narzędzi ma budowę modułową, która umożliwia dodawanie nowych funkcji. Ma to świadczyć o profesjonalnym designie.

Rosjanie dysponują też funkcją kradzieży kryptowalut z popularnych portfeli. "Może to wskazywać, że ten atakujący [ang. threat actor] jest motywowany finansowo lub alternatywnie może wskazywać, iż ta prawdopodobnie związana z państwem rosyjskim aktywność rozszerzyła się na kradzieże finansowe celujące w urządzenia mobilne" - wskazuje w swoim raporcie Lookout. Choć to złośliwe oprogramowanie ma takie możliwości, to zdaniem ekspertów nie ma bezpośrednich dowodów na to, by hakerzy faktycznie priorytetyzowali zyski finansowe.

Specjaliści ds. cyberbezpieczeństwa, którzy badali tę złośliwą kampanię, są zgodni co do tożsamości sprawców. Łączą oni te działania z rosyjskimi interesami wywiadowczymi. "UNC6353 jest dobrze opłacanym i połączonym podmiotem stanowiącym zagrożenie, przeprowadzającym ataki dla zysków finansowych oraz szpiegującym zgodnie w wymaganiami wywiadowczymi Rosji" - tłumaczy badacz zabezpieczeń Justin Albrecht z Lookout w rozmowie z TechCrunch. "Wierzymy, że da się udowodnić, iż UNC6363 jest potencjalnym rosyjskim pełnomocnikiem kryminalnym, biorąc pod uwagę dwoistość celów - kradzieży finansowej i zbierania danych wywiadowczych".

Ataki z wykorzystaniem Darksword nie były precyzyjnie celowane w konkretne osoby. Spyware infekowało każdego użytkownika iPhone'a, który odwiedzał określone ukraińskie strony internetowe, pod warunkiem, że połączenie następowało z terytorium Ukrainy. Nie wiadomo, dlaczego grupa nie użyła narzędzia do szpiegowania w innych krajach. Pewne jest natomiast, że iOS nie jest całkowicie bezpieczny. Ma on podatności, które mogą wykorzystać służby do włamania się na urządzenie i wykradania danych. Exploity te wykorzystują podatności zero-day w systemie iOS. Są rzadkie i drogie, dlatego stanowią cenną walutę w nielegalnym handlu.