俄黑客疑似利用新型iPhone窃密工具针对乌克兰用户
网络安全研究人员发现,一个疑似受俄罗斯政府支持的黑客组织UNC6353,近期针对乌克兰iPhone用户发动新一轮网络攻击,使用名为Darksword的新型黑客工具窃取个人数据及加密货币。该工具由Google、iVerify和Lookout联合分析,能在数分钟内完成数据窃取后迅速消失,显示“快进快出”的攻击模式。
此前,该组织曾使用另一工具Coruna,该工具源自美国国防承包商L3Harris,原为西方五眼联盟国家设计。Darksword具备模块化设计,可扩展功能,表明其专业开发背景。尽管攻击主要针对乌克兰境内用户,但其技术特征和动机显示俄罗斯网络行动正向金融盗窃扩展。
研究人员指出,该攻击非高度精准定向,而是通过感染特定乌克兰网站访客实现广泛渗透。Darksword可窃取密码、照片、即时通讯记录(如WhatsApp、Telegram)、浏览器历史等数据,并具备从主流加密货币钱包中窃取资产的能力。Lookout研究人员称,该工具“在设备上的驻留时间可能仅为数分钟”,符合一次性数据窃取的策略。
iVerify联合创始人Rocky Cole表示,攻击者可能更关注受害者的行为模式而非持续监视。尽管工具具备金融盗窃功能,但尚无直接证据表明黑客实际意图是窃取加密货币。Lookout认为,UNC6353是一个资金充足、关联广泛且符合俄罗斯情报需求的威胁行为体,可能为俄罗斯刑事代理组织,兼具情报收集与经济收益双重目标。
编辑点评
此次俄罗斯黑客针对乌克兰iPhone用户的Darksword攻击,揭示了网络战从传统间谍活动向混合型威胁的演变。其技术特征表明,俄罗斯已构建高度专业化、模块化的网络攻击工具链,不仅能实施精准情报窃取,还通过植入金融盗窃功能,实现情报与经济利益的双重目标。这种“快进快出”的攻击模式,降低了被反制风险,提升了攻击效率,体现了现代网络战的战术灵活性。
从地缘政治角度看,该事件强化了乌克兰在数字战场上的脆弱性,其网络基础设施和民众数字设备持续面临来自俄方的系统性渗透。同时,工具源自美国L3Harris公司,暴露了西方军事技术被转售或泄露后可能被敌对势力反制的风险,凸显国际网络安全供应链的复杂性与脆弱性。
长远而言,此类攻击可能促使全球对移动设备安全标准提出更高要求,推动各国加强反间谍技术投入,并可能引发对监控技术出口与使用的国际监管讨论。此外,若俄罗斯网络行动持续扩展至金融盗窃领域,或影响全球移动支付与加密货币生态的安全信任基础。