Украинцев предупредили об угрозе для миллионов iPhone: что учудили хакеры

Исследователи предупредили о масштабной кибератаке на украинских пользователей iOS. Хакеры могли взломать правительственный сервер, чтобы через вредоносный код получить полный доступ к частным данным в смартфонах iPhone.

Об этом сообщают Google, iVerify и Lookout.

Сотни миллионов пользователей Apple могут оказаться под угрозой утечки данных из-за «мощного программного эксплойта». В Украине один из ресурсов, перенаправляющий на вредоносный код, имеет домен «.gov.ua», что свидетельствует о возможном взломе правительственного сервера.

Эксплойт — это специальный код или набор команд, который использует уязвимости программного обеспечения для проникновения в систему, получения более широких прав доступа или нарушения ее работы. Сам по себе он не является вирусом, но служит инструментом для доставки вредоносного программного обеспечения.

Угроза для iPhone в Украине — подробности

Специалисты обнаружили полную цепь эксплойта для iOS, который позволяет полностью скомпрометировать устройство. Речь идет, вероятно, об инструменте под названием DarkSword, ориентированном, в частности, на iPhone в Украине, которые работают на версиях iOS от 18.4 до 18.6.2. Несмотря на появление более новой версии 26.3.1, эти системы до сих пор используются примерно на 270 млн устройств.

Атаку удалось обнаружить благодаря подозрительному URL-адресу, связанному с инфраструктурой российских киберпреступников, которые ранее осуществляли атаку Coruna в Украине.

По информации iVerify, один из сайтов, ведущий на вредоносный код, имеет домен .gov.ua, что может свидетельствовать о компрометации украинского государственного сервера. В компании отметили, что уже сотрудничают с CERT-UA — подразделением Государственного центра киберзащиты Госспецсвязи — для реагирования на инцидент.

Хакеры могут получить полный контроль над iPhone

Подобные эксплойт-цепи, как в случае с DarkSword, позволяют злоумышленникам получить полный контроль над устройством практически без участия пользователя.

«В отличие от Coruna, которая, вероятно, была нацелена преимущественно на похищение криптовалюты, DarkSword имеет вид инструмента для наблюдения и сбора разведданных, который извлекает данные, включая пароли Wi-Fi, текстовые сообщения, историю звонков, местонахождение, историю браузера, SIM-карты и мобильные данные, а также базы данных здоровья, заметок и календаря. Однако также ищет криптовалютные кошельки», — пояснили в iVerify.

Также отмечается, что российские хакеры, использующие DarkSword, оставили JavaScript-код открытым и доступным. В нем обнаружены комментарии на русском языке, тогда как переменные и инструкции к развертыванию написаны на английском, что может свидетельствовать о разных разработчиках и операторах инструмента.

Обычно доступ к таким сложным и дорогим эксплойтам имеют только государственные структуры или компании, работающие с правоохранительными и разведывательными органами. Однако случаи с DarkSword и Coruna демонстрируют существование вторичного рынка, который позволяет даже менее ресурсным группам получать доступ к мощным киберинструментам и применять их против пользователей мобильных устройств.

Напомним, ранее в марте Apple выпустила критические обновления безопасности iOS 16.7.15 и 15.8.7 для более старых устройств (от iPhone 6s до iPhone X и соответствующих моделей iPad). Патчи устраняют опасный эксплойт Coruna, который ранее использовали для хакерских атак. Пользователям настоятельно рекомендовали немедленно установить апдейт через «Параметры», чтобы защитить свои данные от инструментов взлома.