Исследователи из канадской лаборатории кибербезопасности Citizen Lab опубликовали детальный анализ масштабной кибератаки, осуществленной с помощью шпионского программного обеспечения Graphite, разработанного израильской компанией Paragon Solutions. Злоумышленники успешно скомпрометировали iPhone под управлением iOS 18.2.1, используя ранее неизвестную уязвимость нулевого дня.
Детали кибератаки на журналистов
Целями атаки стали два журналиста: анонимный европейский корреспондент и Чиро Пеллегрино из итальянского издания Fanpage.it. Анализ журналов событий на скомпрометированных устройствах показал, что оба iPhone взаимодействовали с идентичным командным сервером, что подтверждает координированный характер кибератаки.
Атака была осуществлена в начале 2025 года, однако пострадавшие узнали о компрометации только 29 апреля, когда Apple направила им официальные уведомления о том, что их устройства подверглись воздействию «продвинутого шпионского программного обеспечения».
Техническая схема эксплуатации CVE-2025-43200
Ключевым элементом атаки стала уязвимость CVE-2025-43200 — критическая брешь в системе безопасности iOS, которая на момент эксплуатации являлась уязвимостью нулевого дня. Злоумышленники использовали мессенджер iMessage в качестве вектора доставки вредоносного кода.
Схема атаки включала отправку специально сформированных сообщений через отдельную учетную запись (исследователи обозначили ее как «ATTACKER1»). Эти сообщения эксплуатировали логическую ошибку в обработке мультимедийного контента, передаваемого через iCloud Link, что позволяло выполнить удаленный код без какого-либо взаимодействия с пользователем.
Инфраструктура командного управления
После успешной инфильтрации шпионское ПО Graphite устанавливало соединение с управляющим сервером для получения дальнейших инструкций. Анализ сетевого трафика выявил подключения к VPS-серверу по адресу 46.183.184.91, который исследователи связали с инфраструктурой Paragon Solutions.
Реакция Apple на обнаружение угрозы
Компания Apple отреагировала на обнаруженную уязвимость выпуском обновления iOS 18.3.1 в феврале 2025 года. В бюллетене безопасности уязвимость описывается как «логическая проблема при обработке вредоносных фотографий или видео, переданных через iCloud Link». Примечательно, что соответствующий идентификатор CVE был добавлен в официальную документацию только на прошлой неделе.
Paragon Solutions: профиль разработчика
Израильская компания Paragon Solutions Ltd. была основана в 2019 году и позиционирует себя как поставщика инструментов кибернаблюдения исключительно для правоохранительных и разведывательных органов демократических государств. В декабре 2024 года компанию приобрела американская инвестиционная группа AE Industrial Partners из Флориды.
В отличие от скандально известной NSO Group, Paragon заявляет о строгой политике продаж, ограничивающей использование их продуктов только борьбой с опасными преступниками. Однако данный инцидент с атаками на журналистов ставит под сомнение эффективность таких ограничений.
Расширение угроз и дополнительные векторы атак
Исследование также выявило использование Graphite через другие каналы доставки. Весной 2025 года в мессенджере WhatsApp была исправлена аналогичная уязвимость нулевого дня, которая также эксплуатировалась для инсталляции шпионского ПО на целевые устройства.
Данный инцидент подчеркивает критическую важность своевременного обновления операционных систем мобильных устройств и демонстрирует растущую сложность современных кибератак на платформу iOS. Пользователям рекомендуется незамедлительно устанавливать все доступные обновления безопасности и проявлять особую осторожность при работе с подозрительными сообщениями в мессенджерах, даже от известных контактов.
