Hackers rusos roban datos personales de ucranianos con herramientas avanzadas

Un grupo de hackers, supuestamente asociado al gobierno ruso, fue detectado atacando a usuarios de iPhone en Ucrania con un nuevo conjunto de herramientas de hacking diseñadas para robar datos personales y, potencialmente, criptomonedas. Esta información fue revelada por investigadores de Google y las firmas de seguridad iVerify y Lookout, quienes analizaron una serie de ciberataques lanzados por un grupo identificado como UNC6353. El análisis se centró en sitios web comprometidos en una campaña de hacking que, según los expertos, está relacionada con otra descubierta a principios de este mes. La campaña más reciente utilizó un kit de herramientas de hacking denominado Darksword.

El descubrimiento de Darksword, que sigue a otro conjunto de herramientas de hacking similar, sugiere que el spyware avanzado y sigiloso para iPhones podría no ser tan raro como se pensaba anteriormente. Sin embargo, Darksword solo apuntó a usuarios en Ucrania, lo que indica una cierta restricción en lo que podría haber sido una campaña de hacking a gran escala.

A principios de marzo, Google reveló detalles sobre un sofisticado kit de hacking para iPhones llamado Coruna. La compañía de tecnología indicó que esta herramienta fue utilizada primero por un cliente gubernamental de un proveedor de tecnología de vigilancia, luego por espías rusos que atacaron a ucranianos, y finalmente por ciberdelincuentes chinos que buscaban robar criptomonedas. Como se informó más tarde, el kit de hacking fue desarrollado originalmente por el contratista de defensa estadounidense L3Harris, particularmente por su departamento de tecnología de hacking y vigilancia Trenchant.

Coruna fue diseñado para su uso por gobiernos occidentales, especialmente aquellos que forman parte de la llamada alianza de inteligencia de los Cinco Ojos, que incluye a Australia, Canadá, Nueva Zelanda, Estados Unidos y Reino Unido, según ex empleados de L3Harris con conocimiento sobre las herramientas de hacking para iPhone.

Ahora, los investigadores han descubierto una campaña relacionada que utiliza herramientas de hacking más recientes que explotan diferentes vulnerabilidades. El kit de herramientas Darksword, según los investigadores, fue construido para robar información personal como contraseñas, fotos, mensajes de WhatsApp, Telegram y SMS, así como el historial de navegación. Curiosamente, Darksword no fue diseñado para la vigilancia persistente, sino para infectar a las víctimas, robar información y desaparecer rápidamente.

El dwell time del malware en el dispositivo es probablemente de unos minutos, dependiendo de la cantidad de datos que descubra y exfiltre, según escribieron los investigadores de Lookout.

Para Rocky Cole, cofundador de iVerify, la explicación más probable es que los hackers estaban interesados en conocer el patrón de vida de las víctimas, lo que no requería vigilancia constante, sino más bien una operación de smash-and-grab.

Darksword también fue diseñado para robar criptomonedas de aplicaciones de billetera populares, algo inusual para un grupo de hacking gubernamental. "Esto puede indicar que este actor de amenaza está motivado financieramente, o alternativamente, puede indicar que esta actividad (probablemente) alineada con el estado ruso se ha expandido hacia el robo financiero dirigido a dispositivos móviles", escribieron los investigadores de Lookout en su informe.

Sin embargo, Cole comentó a TechCrunch que no hay evidencia de que el grupo de hackers ruso realmente estuviera interesado en robar criptomonedas, solo que el malware podría haber sido utilizado para eso.

El malware fue desarrollado de manera profesional para ser modular y facilitar la incorporación de nuevas funcionalidades, lo que demuestra que fue diseñado de forma profesional, según Lookout. Cole afirmó que es posible que la misma persona que vendió Coruna al grupo de hackers del gobierno ruso también haya vendido Darksword.

En cuanto a quién está detrás de Darksword, Cole indicó que "todas las señales apuntan al gobierno ruso", mientras que Lookout afirmó que se trata del mismo grupo que utilizó Coruna contra ucranianos, también un grupo sospechado de ser del gobierno ruso.

"UNC6353 es un actor de amenaza bien financiado y conectado que lleva a cabo ataques por ganancias financieras y espionaje en alineación con los requisitos de inteligencia rusa", declaró Justin Albrecht, investigador principal de seguridad en Lookout, a TechCrunch. "Creemos que se puede argumentar que UNC6363 es potencialmente un proxy criminal ruso, dado los objetivos duales de robo financiero y recopilación de inteligencia."

En cuanto a las víctimas, Cole mencionó que el malware fue diseñado para infectar a cualquier persona que visitara ciertos sitios web ucranianos, siempre que lo hicieran desde dentro de Ucrania, por lo que no fue una campaña particularmente dirigida.

Temas