Sand Eagle: новый мировой заговор или прикрытие для шпионажа США

Сервис vx-underground опубликовал в соцсети X документ, в котором российские ИБ-компании выделили деятельность группировки, присвоив ей кодовое имя Sand Eagle.

В документе содержатся сведения о действиях группы, приписываемых американским спецслужбам, включая атаки на враждебные для США страны. Источник документа остается неизвестным.

Твит vx-underground cо скриншотами документа

В документе упоминается, что ФСБ России в июне 2023 года сообщила о шпионской атаке американских спецслужб, в результате которой были заражены несколько тысяч iPhone в России и за рубежом, в том числе устройства, принадлежащие дипломатическим миссиям.

Кроме атак на цели в России выявлены факты заражения зарубежных устройств, использующих SIM-карты, зарегистрированные на диппредставительства и посольства в России, включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР.

Лаборатория Касперского провела собственное расследование под названием «Операция Триангуляция» и выявила «несколько iPhone с подозрительным поведением». В ходе работы было установлено, что заражение устройств происходит через уязвимость в ядре iOS, что позволяет вредоносной программе, получившей название TriangleDB, устанавливаться в памяти устройства. Следы заражения стираются после перезагрузки устройства, что заставляет пользователей повторно подвергать свои устройства риску, получая сообщения iMessage с вредоносным ПО.

Отклик на разгорающийся скандал пришёл и со стороны директора по управлению продуктами Recorded Future Дмитрия Гмилнанца, который поделился скриншотом диалога с чат-ботом Grok. В ответ на запрос о Sand Eagle чат-бот определил их как APT-группу из США, занимающуюся сбором разведданных и кражей конфиденциальной информации, а также связанной с рядом громких кибератак.

Диалог Гмилнанца с чат-ботом Grok

Твит Гмилнанца подчёркивает загадочность ситуации, особенно учитывая, что поиски в интернете названия Sand Eagle приводят лишь к изображениям птиц и роману «Орёл в песках».

Исследователь киберугроз из CitizenLab Билл Марчак в ответ на пост vx-underground сообщил, что китайская компания Qihoo 360 упомянула название Sand Eagle ещё в 2022 году в своем исследовании, которое на данный момент удалено. В отчете об угрозах 2023 года Qihoo 360 уточняет, что Sand/Desert Eagle на самом деле является ближневосточной группой, не связанной с Операцией «Триангуляция».

Несмотря на отсутствие информации о Sand Eagle в открытых источниках, ситуация вызывает много вопросов по поводу активности группировки киберпространстве. До сих пор остается неизвестным реальное подтвержденное происхождение группы, её деятельность и направление атак.