Украинские пользователи iPhone стали жертвами кражи данных: атаку связывают с пророссийскими хакерами
Атаки на iPhone пользователей на Украине проводятся с использованием продвинутого инструментария, позволяющего получать доступ к данным устройства практически без участия пользователя, быстро извлекать переписку, фотографии и учетные данные, а затем удалять следы компрометации. Активность связывают с группой UNC6353, которую некоторые исследователи считают связанной с российскими интересами.
Кампания построена вокруг инструментария DarkSword, который применяется через компрометированные сайты: при открытии зараженной страницы эксплуатация уязвимостей происходит автоматически, после чего злоумышленники получают доступ к сообщениям, электронной почте, фотографиям и данным криптокошельков. Но атака не была строго таргетированной — заражение происходило при посещении скомпрометированных сайтов, что потенциально расширяло круг жертв.
Используемый набор инструментов связывают с группой UNC6353. Исследователи рассматривают ее как вероятно связанную с российскими интересами, однако прямого подтверждения нет.
Анализ кампании показывает, что она может быть связана с более ранними атаками с использованием эксплойт-цепочки Coruna, а также с более широким распространением подобных инструментов — отмечают специалисты. SecPost ранее публиковал материал о том, что набор инструментов Coruna для взлома iPhone оказался в руках киберпреступников. В нём также упоминается группа UNC6353.
Вредонос работает по модели «быстрый захват и уход»: он собирает и передает данные за считанные минуты, после чего удаляет себя с устройства, практически не оставляя следов. Такой подход отличает его от классических шпионских инструментов, ориентированных на длительное скрытое присутствие.
Функциональность DarkSword включает кражу паролей, сообщений (в том числе из WhatsApp и Telegram), истории браузера и данных криптокошельков. Наличие возможности работы с криптоактивами для активности, предположительно связанной с государственными интересами, выглядит нетипично и может указывать на смешанный характер задач или использование инструмента в разных сценариях. При этом исследователи подчеркивают, что само наличие такой функциональности не означает, что она фактически применялась в зафиксированных атаках.
Происхождение подобных инструментов также связывают с утечкой или перераспределением технологий: ранее выявленный Coruna создавался для государственных заказчиков, но впоследствии оказался доступен другим участникам, что указывает на формирование вторичного рынка сложных эксплойтов.
Несмотря на использование продвинутых эксплойтов, обычно ассоциируемых с инструментами коммерческих поставщиков или государственных заказчиков, отдельные элементы операции реализованы без сложных механизмов сокрытия, что может указывать на применение готовых решений и сторонних разработок.
По опубликованным данным, отдельные эпизоды применения DarkSword фиксировались не только на Украине, но и в ряде других стран.
Уязвимости, используемые в атаках, были устранены в обновлениях Apple, выпущенных в конце 2025 года. При этом сама кампания продолжалась как минимум до марта 2026 года, что подчеркивает риски несвоевременного обновления устройств и повторного использования эксплойтов.
Обнаруженные факты по мнениям аналитиков указывают на тенденцию расширения доступности сложных инструментов для атак на мобильные устройства: технологии, ранее ассоциировавшиеся с ограниченным кругом государственных заказчиков, постепенно распространяются и могут использоваться в различных сценариях — от кибершпионажа до потенциальной финансовой выгоды.
Читайте также
