Документ привлек споры о происхождении группы, которая преследует политические цели.
https://www.securitylab.ru/upload/ib...b20lfoj2e0.jpg
Сервис vx-underground https://twitter.com/vxunderground/st...84764231848397в соцсети X документ, в котором российские ИБ-компании выделили деятельность группировки, присвоив ей кодовое имя Sand Eagle.
В документе содержатся сведения о действиях группы, приписываемых американским спецслужбам, включая атаки на враждебные для США страны. Источник документа остается неизвестным.
https://www.securitylab.ru/upload/me...hotuobuvdk.png
Твит vx-underground cо скриншотами документа
В документе упоминается, что ФСБ России в июне 2023 года сообщила о шпионской атаке американских спецслужб, в результате которой были заражены несколько тысяч iPhone в России и за рубежом, в том числе устройства, принадлежащие дипломатическим миссиям.
Кроме атак на цели в России выявлены факты заражения зарубежных устройств, использующих SIM-карты, зарегистрированные на диппредставительства и посольства в России, включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР.
Лаборатория Касперского провела собственное расследование под названием «Операция Триангуляция» и выявила «несколько iPhone с подозрительным поведением». В ходе работы было установлено, что заражение устройств происходит через уязвимость в ядре iOS, что позволяет вредоносной программе, получившей название TriangleDB, устанавливаться в памяти устройства. Следы заражения стираются после перезагрузки устройства, что заставляет пользователей повторно подвергать свои устройства риску, получая сообщения iMessage с вредоносным ПО.
Отклик на разгорающийся скандал пришёл и со стороны директора по управлению продуктами Recorded Future Дмитрия Гмилнанца, который поделился скриншотом диалога с чат-ботом Grok. В ответ на запрос о Sand Eagle чат-бот определил их как APT-группу из США, занимающуюся сбором разведданных и кражей конфиденциальной информации, а также связанной с рядом громких кибератак.
https://www.securitylab.ru/upload/me...fdxzz1mj3u.png
Диалог Гмилнанца с чат-ботом Grok
Твит Гмилнанца подчёркивает загадочность ситуации, особенно учитывая, что поиски в интернете названия Sand Eagle приводят лишь к изображениям птиц и роману «Орёл в песках».
Исследователь киберугроз из CitizenLab Билл Марчак в ответ на пост vx-underground сообщил, что китайская компания Qihoo 360 упомянула название Sand Eagle ещё в 2022 году в своем исследовании, которое на данный момент удалено. В отчете об угрозах 2023 года Qihoo 360 уточняет, что Sand/Desert Eagle на самом деле является ближневосточной группой, не связанной с Операцией «Триангуляция».
Несмотря на отсутствие информации о Sand Eagle в открытых источниках, ситуация вызывает много вопросов по поводу активности группировки киберпространстве. До сих пор остается неизвестным реальное подтвержденное происхождение группы, её деятельность и направление атак.