Ρώσοι χάκερ που χρηματοδοτούνται από το κράτος εξαπέλυσαν νέα κυβερνοεπίθεση στοχεύοντας iPhone και λογαριασμούς iCloud. Χρησιμοποιούν το διαρρεύσαν κακόβουλο λογισμικό DarkSword iOS σε εκστρατεία ηλεκτρονικού ψαρέματος.
Η εκστρατεία του TA446
Η εταιρεία κυβερνοασφάλειας Proofpoint αποκάλυψε την Παρασκευή ότι πίσω από την επίθεση βρίσκεται η ομάδα TA446, γνωστή και ως Callisto ή Star Blizzard. Η ομάδα συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB).
Οι χάκερ έστειλαν ψεύτικα emails στις 26 Μαρτίου που παρίσταναν το Atlantic Council. Τα μηνύματα προέρχονταν από παραβιασμένους λογαριασμούς και διέδιδαν το κακόβουλο λογισμικό GHOSTBLADE μέσω του DarkSword exploit kit.
Μεταξύ των στόχων ήταν ο Ρώσος πολιτικός της αντιπολίτευσης Leonid Volkov, πολιτικός διευθυντής του Ιδρύματος Κατά της Διαφθοράς. Η στόχευση περιέλαβε κυβερνητικούς φορείς, ακαδημαϊκούς, χρηματοπιστωτικά ιδρύματα, νομικές εταιρείες και think tanks.
Τα emails ενεργοποιούσαν το exploit μόνο σε iPhone. Χρήστες άλλων συσκευών ανακατευθύνονταν σε αβλαβές αρχείο PDF.
Πώς λειτουργεί το DarkSword
Το DarkSword εντοπίστηκε στις αρχές Μαρτίου από την Ομάδα Πληροφοριών Απειλών της Google, την Lookout και την iVerify. Συνδυάζει έξι ευπάθειες, ανάμεσά τους τρεις zero-days, που επιτρέπουν πλήρη έλεγχο σε iPhone με iOS 18.4 έως 18.7.
Στις 23 Μαρτίου, νεότερη έκδοση του DarkSword διέρρευσε στο GitHub. Ειδικοί προειδοποιούν ότι η διαρροή «εκδημοκρατίζει» την πρόσβαση σε εργαλεία κυβερνοκατασκοπείας επιπέδου κρατών.
«Το DarkSword ανατρέπει την πεποίθηση ότι τα iPhone είναι άτρωτα», δήλωσε ο Justin Albrecht της Lookout. Η διαρρεύσασα έκδοση επιτρέπει ακόμη και σε άπειρους χάκερ να αναπτύξουν το προηγμένο κιτ κατασκοπείας.
Η Proofpoint επισημαίνει ότι είναι η πρώτη φορά που ο TA446 στοχεύει συσκευές iOS και λογαριασμούς iCloud. Μέχρι τώρα η ομάδα εστίαζε σε κλοπή διαπιστευτηρίων μέσω ηλεκτρονικού ψαρέματος.
Η απάντηση της Apple
Η Apple ξεκίνησε να στέλνει ειδοποιήσεις στην οθόνη κλειδώματος συσκευών με παλαιότερες εκδόσεις iOS. Οι ειδοποιήσεις προειδοποιούν για ενεργές επιθέσεις και καλούν τους χρήστες να ενημερώσουν άμεσα το λειτουργικό σύστημα.
Η Proofpoint κατέγραψε αύξηση στον όγκο των email του TA446 τις τελευταίες εβδομάδες. Παράλληλες εκστρατείες χρησιμοποιούν το backdoor MAYBEROBOT μέσω προστατευμένων αρχείων ZIP.
