Обнародовано расследование деятельности американской APT-группы Sand Eagle

Сервис vx-underground опубликовал в соцсети X документ, в котором российские ИБ-компании выделили деятельность группировки, присвоив ей кодовое имя Sand Eagle.

В документе содержатся сведения о действиях группы, приписываемых американским спецслужбам, включая атаки на враждебные для США страны. Источник документа остается неизвестным.

В документе упоминается, что ФСБ России в июне 2023 года сообщила о шпионской атаке американских спецслужб, в результате которой были заражены несколько тысяч iPhone в России и за рубежом, в том числе устройства, принадлежащие дипломатическим миссиям.

Кроме атак на цели в России выявлены факты заражения зарубежных устройств, использующих SIM-карты, зарегистрированные на диппредставительства и посольства в России, включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР.

Лаборатория Касперского провела собственное расследование под названием «Операция Триангуляция» и выявила «несколько iPhone с подозрительным поведением», напоминает Securitylab. В ходе работы было установлено, что заражение устройств происходит через уязвимость в ядре iOS, что позволяет вредоносной программе, получившей название TriangleDB, устанавливаться в памяти устройства. Следы заражения стираются после перезагрузки устройства, что заставляет пользователей повторно подвергать свои устройства риску, получая сообщения iMessage с вредоносным ПО.

Отклик на разгорающийся скандал пришёл и со стороны директора по управлению продуктами Recorded Future Дмитрия Гмилнанца, который поделился скриншотом диалога с чат-ботом Grok. В ответ на запрос о Sand Eagle чат-бот определил их как APT-группу из США, занимающуюся сбором разведданных и кражей конфиденциальной информации, а также связанной с рядом громких кибератак.