俄羅斯駭客利用新型先進 iPhone 攻擊工具竊取烏克蘭人個人資料

根據網路安全研究人員的說法，一組被懷疑至少部分為俄羅斯政府工作的駭客，正利用一套旨在竊取個人資料以及可能竊取加密貨幣的新型駭客工具，鎖定烏克蘭的 iPhone 用戶。

Google 以及安全公司 iVerify 和 Lookout 的研究人員分析了針對烏克蘭人的新網路攻擊，這些攻擊是由一個僅被識別為 UNC6353 的組織發起的。研究人員調查了駭客行動中受侵害的網站，他們表示，這與本月早些時候發現的一項行動有關。最近的這項行動使用了一套被這些公司稱為「Darksword」的駭客工具包。

Darksword 的發現緊隨另一個類似駭客工具包之後，這表明針對 iPhone 的先進、隱蔽且強大的間諜軟體可能並不像以前想像的那麼罕見。即便如此，Darksword 僅針對烏克蘭境內的用戶，這意味著這場原本可能針對全球用戶的大規模駭客行動受到了一定的節制。

3 月初，Google 披露了一套名為 Coruna 的精密 iPhone 駭客工具包細節。這家搜尋巨頭表示，該工具最初由一家監控技術供應商的政府客戶使用，隨後被針對烏克蘭人的俄羅斯間諜使用，最後被尋求竊取加密貨幣的中國網路罪犯使用。正如 TechCrunch 後來披露的那樣，該駭客工具包最初是由美國國防承包商 L3Harris 開發的，特別是其駭客與監控技術部門 Trenchant。

根據了解 L3Harris iPhone 駭客工具的前員工透露，Coruna 最初是設計給西方政府使用的，特別是所謂「五眼聯盟」（由澳洲、加拿大、紐西蘭、美國和英國組成）的成員。

現在，研究人員表示，他們發現了一項相關的行動，使用了利用不同漏洞的更新型駭客工具。

根據研究人員的說法，Darksword 工具包旨在竊取個人資訊，如密碼、照片、WhatsApp、Telegram 和簡訊，以及瀏覽器歷史記錄。有趣的是，Darksword 並非為了持續監控而設計，而是為了感染受害者、竊取資訊後迅速消失。

聯繫我們

Lookout 的研究人員寫道，Darksword 在設備上的「停留時間可能在幾分鐘之內，具體取決於它發現並外傳的數據量」。

對於 iVerify 的聯合創始人 Rocky Cole 來說，最可能的解釋是駭客感興趣的是了解受害者的生活模式，這不需要他們進行持續監控，而是一種「砸窗搶劫式」（smash-and-grab）的行動。

Darksword 還被設計用來從流行的錢包應用程式中竊取加密貨幣，這對於一個疑似政府背景的駭客組織來說是不尋常的。

Lookout 在其報告中寫道：「這可能表明該威脅行為者具有財務動機，或者可能表明這種（很可能是）與俄羅斯國家結盟的活動已擴展到針對行動裝置的財務竊盜。」

但 Cole 告訴 TechCrunch，目前沒有證據表明該俄羅斯駭客組織真的在意竊取加密貨幣，僅能證明該惡意軟體具備此功能。

根據 Lookout 的說法，該惡意軟體是專業開發的，具有模組化特性，可以輕鬆添加新功能，這顯示它是經過專業設計的。Cole 表示，他相信將 Coruna 出售給俄羅斯政府駭客組織的可能是同一個人，他也出售了 Darksword。

至於誰是 Darksword 的幕後黑手，對 Cole 而言「所有跡象都指向俄羅斯政府」，而 Lookout 則表示這與對烏克蘭人使用 Coruna 的是同一個組織，同樣也是疑似俄羅斯政府的組織。

Lookout 首席安全研究員 Justin Albrecht 告訴 TechCrunch：「UNC6353 是一個資金充足且人脈廣泛的威脅行為者，其進行的財務獲利和間諜攻擊符合俄羅斯情報需求。我們認為可以證明 UNC6363 可能是俄羅斯的犯罪代理人，因為它兼具財務竊盜和情報蒐集的雙重目標。」

至於受害者，Cole 表示，該惡意軟體旨在感染任何訪問特定烏克蘭網站的人，只要他們是從烏克蘭境內訪問的，因此這並非一場特別針對特定個人的行動。