Пользователи Apple по всему миру получили очередную волну уведомлений о попытках компрометации их устройств с использованием шпионского ПО. Согласно предупреждению национального центра реагирования CERT-FR, в 2025 году уже зафиксированы как минимум четыре рассылки таких алертов: 5 марта, 29 апреля, 25 июня и 3 сентября. Сообщения направлялись на номера телефонов и адреса электронной почты, привязанные к Apple ID, а также отображались в верхней части страницы после входа на account.apple.com.
Целевые атаки на «высокорисковые» группы пользователей
По данным CERT-FR, речь идет о сложных, целевых атаках, в которых применяются 0-day эксплойты и зачастую не требуется никаких действий со стороны жертвы (zero-click). Подобные кампании традиционно нацелены на людей, чья деятельность представляет повышенный интерес для злоумышленников: журналистов, правозащитников, адвокатов, политиков, чиновников и руководителей в стратегически важных отраслях. Получение такого уведомления сигнализирует, что как минимум одно из устройств, связанных с iCloud-аккаунтом, было выбрано целью и могло быть скомпрометировано.
Технический контекст: zero-day и zero-click
В августе–сентябре Apple выпустила внеплановые обновления безопасности, устраняющие уязвимость нулевого дня CVE-2025-43300, которая, по данным специалистов, использовалась вместе с zero-click уязвимостью в WhatsApp CVE-2025-55177 для изощренных атак на отдельных пользователей. Такие цепочки позволяют внедрять шпионские компоненты без кликов по ссылкам и открытия вложений, что значительно усложняет обнаружение и реакцию. Исторически аналогичные тактики применялись в известных кампаниях на базе «наемного» шпионского ПО (например, Pegasus), что подтверждали независимые исследования профильных лабораторий и предупреждения Apple о «наемном шпионском ПО» на странице поддержки компании.
Как Apple информирует о рисках
Уведомления Apple (Threat Notifications) доставляются через SMS, email и внутри кабинета Apple ID. Компания намеренно не раскрывает технические индикаторы, чтобы не помогать операторам шпионских платформ обходить детектирование. По опыту предыдущих уведомлений, ложные срабатывания встречаются редко, а рекомендации Apple ориентированы на снижение риска именно для высокоприоритетных целей.
Рекомендации пострадавшим и группам повышенного риска
В уведомлениях Apple пользователям рекомендовано выполнить полный сброс устройства до заводских настроек, затем обновить iOS/iPadOS/macOS и все критически важные приложения, включая WhatsApp, до актуальных версий. Компания отдельно советует активировать Lockdown Mode — режим усиленной защиты, который жестко ограничивает потенциальные векторы атак в мессенджерах, браузере и системных сервисах, снижая поверхность атаки для 0-day и zero-click эксплуатаций.
Для оперативной помощи жертвам целевых атак Apple рекомендует обратиться в Digital Security Helpline от Access Now — круглосуточную линию поддержки по цифровой безопасности для гражданского общества. Дополнительно стоит использовать проверенные каналы консультаций национальных CERT и профильных НКО, а также задействовать независимую верификацию устройств у специалистов, работающих с инцидентами на мобильных платформах.
Практические меры для организаций
Организациям с увеличенным профилем риска следует внедрить базовые, но эффективные контрмеры: централизованную политику обновлений, отдельные устройства для особо чувствительных коммуникаций, минимизацию набора приложений, ограничение профилей конфигурации и использование MDM для быстрого реагирования. Полезны регулярные тренировки по реагированию на инциденты мобильной безопасности, контроль доступа по принципу наименьших привилегий и переход на защищенные каналы связи с поддержкой верификации собеседника и ключей шифрования.
Что важно понимать о «невидимых» атаках
Атаки класса zero-click оставляют минимум артефактов, а их операторы быстро меняют инфраструктуру и тактики после публичного раскрытия. Поэтому скорость реакции (патчинг, смена ключей и токенов, перевыпуск eSIM, ревизия приложений) и разделение рисков (изоляция рабочих и личных устройств/аккаунтов) критичны для снижения ущерба.
Серия уведомлений, зафиксированная CERT-FR, указывает на устойчивую активность операторов «наемного» шпионского ПО и заинтересованность в высокорисковых пользователях. Тем, кто получил предупреждение от Apple, имеет смысл действовать без промедления: выполнить сброс и обновление устройств, включить Lockdown Mode, обратиться за профильной помощью и пересмотреть собственную модель угроз. Даже если уведомление не сопровождается подробными техническими данными, своевременные меры существенно снижают вероятность успешной компрометации и сохраняют контроль над конфиденциальными коммуникациями.
