Експерти канадської лабораторії Citizen Lab розкрили деталі складної кібератаки, що використовувала шпигунське програмне забезпечення Graphite від ізраїльської компанії Paragon Solutions. Атака успішно скомпрометувала пристрої iPhone з операційною системою iOS 18.2.1, експлуатуючи невідому раніше уразливість нульового дня.
Цілеспрямована атака на представників ЗМІ
Жертвами кібератаки стали двоє журналістів: анонімний європейський кореспондент та Чіро Пеллегріно з італійського видання Fanpage.it. Технічний аналіз журналів подій показав, що обидва скомпрометованих iPhone підключалися до ідентичного командного сервера, що свідчить про координований характер операції.
Атака відбулася на початку 2025 року, проте постраждалі дізналися про компрометацію лише 29 квітня, коли Apple надіслала їм офіційні повідомлення про виявлення “розвиненого шпигунського програмного забезпечення” на їхніх пристроях.
Технічні аспекти експлуатації уразливості CVE-2025-43200
Основою атаки стала уразливість CVE-2025-43200 – критична брешь в системі безпеки iOS, яка на момент використання була уразливістю нульового дня. Зловмисники обрали месенджер iMessage як основний канал доставки шкідливого коду.
Механізм атаки передбачав надсилання спеціально підготовлених повідомлень через окрему обліковий запис. Ці повідомлення експлуатували логічну помилку в обробці мультимедійного контенту, що передавався через iCloud Link, дозволяючи виконувати віддалений код без будь-якої взаємодії з користувачем.
Архітектура команд та управління
Після успішного проникнення шпигунське ПЗ Graphite встановлювало з’єднання з керуючим сервером для отримання подальших інструкцій. Аналіз мережевого трафіку виявив підключення до VPS-сервера з IP-адресою 46.183.184.91, який дослідники пов’язали з інфраструктурою Paragon Solutions.
Відповідь Apple на виявлену загрозу
Компанія Apple відреагувала на виявлену уразливість випуском оновлення iOS 18.3.1 у лютому 2025 року. У бюлетені безпеки уразливість описується як “логічна проблема при обробці шкідливих фотографій або відео, переданих через iCloud Link”. Характерно, що відповідний ідентифікатор CVE було додано до офіційної документації лише минулого тижня.
Профіль розробника: Paragon Solutions
Ізраїльська компанія Paragon Solutions Ltd. заснована у 2019 році та позиціонує себе як постачальника інструментів кіберспостереження виключно для правоохоронних та розвідувальних органів демократичних держав. У грудні 2024 року компанію придбала американська інвестиційна група AE Industrial Partners з Флориди.
На відміну від скандально відомої NSO Group, Paragon заявляє про суворі обмеження продажів, дозволяючи використання їхніх продуктів лише для боротьби з небезпечними злочинцями. Однак цей інцидент з атаками на журналістів ставить під сумнів ефективність таких обмежень.
Розширення векторів атак та додаткові загрози
Дослідження також виявило використання Graphite через інші канали доставки. Навесні 2025 року в месенджері WhatsApp була виправлена аналогічна уразливість нульового дня, яка також експлуатувалася для встановлення шпигунського ПЗ на цільові пристрої.
Цей інцидент підкреслює критичну важливість своєчасного оновлення операційних систем мобільних пристроїв та демонструє зростаючу складність сучасних кібератак на платформу iOS. Користувачам рекомендується негайно встановлювати всі доступні оновлення безпеки та проявляти особливу обережність при роботі з підозрілими повідомленнями в месенджерах, навіть від відомих контактів. Регулярний моніторинг системних повідомлень Apple та своєчасне реагування на сповіщення про безпеку залишається ключовим елементом захисту від подібних загроз.
