Hakują WhatsApp na zlecenie i atakują dziennikarzy. Ujawniono szczegóły operacji

Cyberataki nie są niczym nowym, a cyberprzestępcy co chwila wymyślają przeróżne metody, by skutecznie wykraść dane lub pieniądze od niczego nieświadomych osób. Eksperci z dziedziny cyberbezpieczeństwa odkryli ataki wymierzone w dziennikarzy, aktywistów oraz urzędników państwowych pochodzących z Bliskiego Wschodu i Afryki Północnej.

Cyberprzestępcy prowadzili kampanie phishingowe, chcąc uzyskać dostęp do kopii zapasowych iCloud oraz komunikatorów internetowych takich jak Signal. W niektórych przypadkach stosowano także złośliwe oprogramowanie na Androida, które umożliwiało przejęcie kontroli nad urządzeniem ofiary. Ich celem nie byli przypadkowi ludzie tylko konkretne grupy zawodowe.

Zaawansowana kampania wymierzona w różne grupy

Badania nad opisywaną kampanią prowadziły równolegle trzy organizacje: Access Now, SMEX oraz firma Lookout zajmująca się bezpieczeństwem mobilnym. Udokumentowano co najmniej kilka przypadków ataków z lat 2023-2025, które dotyczyły między innymi dziennikarzy z Egiptu oraz Libanu. Według dostępnych informacji lista potencjalnych celów może być jednak znacznie większa i obejmować także osoby powiązane z administracją publiczną w różnych krajach.

Cyberataki nie są niczym nowym, a cyberprzestępcy co i rusz wymyślają przeróżne metody, by skutecznie wykraść dane lub pieniądze od niczego nieświadomych osób. Eksperci od cyberbezpieczeństwa odkryli ataki wymierzone w dziennikarzy, aktywistów oraz urzędników państwowych pochodzących z Bliskiego Wschodu i Afryki Północnej.

Analitycy wskazują, że działania tej grupy nie ograniczały się wyłącznie do społeczeństwa obywatelskiego. Wśród potencjalnych celów znaleźli się również przedstawiciele rządów oraz osoby związane z instytucjami w takich krajach jak Bahrajn, Zjednoczone Emiraty Arabskie czy Arabia Saudyjska.

Pojawiają się także sygnały, że operacje mogły sięgać poza region, obejmując między innymi Wielką Brytanię, a nawet osoby związane ze środowiskami akademickimi w Stanach Zjednoczonych.

Według ustaleń Lookout, za kampanią stoi firma oferująca usługi hakerskie na zlecenie, która może mieć powiązania z grupą znaną jako BITTER APT. To środowisko od lat pojawia się w raportach firm zajmujących się cyberbezpieczeństwem i bywa łączone z działalnością wspieraną przez struktury państwowe. Część ekspertów sugeruje, że analizowana operacja może być powiązana z mniejszymi podmiotami wywodzącymi się z indyjskiego rynku usług hakerskich, które rozwinęły się po upadku większych firm działających w tej branży.

Jak działali cyberprzestępcy

Cała infrastruktura oraz przebieg operacji pozostają po stronie wykonawcy, co utrudnia wykrycie prawdziwego sprawcy. Dodatkowo korzystanie z usług tego typu firm bywa tańsze niż zakup zaawansowanego oprogramowania szpiegowskiego, co może tłumaczyć rosnącą popularność tego modelu.

Same ataki wykorzystywały różne techniki w zależności od platformy. W przypadku użytkowników iPhone’ów przestępcy próbowali wyłudzić dane logowania do Apple ID, co pozwalało im uzyskać dostęp do kopii zapasowych iCloud. Taka metoda, choć mniej zaawansowana technologicznie, mogła zapewnić dostęp do dużej ilości danych, w tym wiadomości, zdjęć czy historii połączeń.

Jak to działało na Androidzie

W przypadku urządzeń z Androidem stosowano złośliwe oprogramowanie podszywające się pod popularne aplikacje komunikacyjne, takie jak Signal, WhatsApp czy Zoom. Po zainstalowaniu takiego programu napastnicy mogli monitorować aktywność użytkownika, a nawet przejąć kontrolę nad urządzeniem. W niektórych sytuacjach wykorzystywano również technikę polegającą na dodaniu nowego urządzenia do konta w komunikatorze, co umożliwiało dostęp do rozmów bez wiedzy właściciela.

Eksperci podkreślają, iż choć stosowane narzędzia nie należą do najbardziej zaawansowanych na świecie, ich skuteczność wynika z dobrze dobranych metod socjotechnicznych. W praktyce oznacza to, że nawet stosunkowo proste ataki mogą prowadzić do poważnych naruszeń prywatności, jeśli ofiara nie zachowa odpowiedniej ostrożności.