Уязвимость iMessage от Apple использована шпионским ПО Paragon для атаки на журналистов

Недавно раскрытая уязвимость нулевого клика в платформе iMessage от Apple была использована для слежки за журналистами в Европе с помощью высококлассного шпионского ПО, разработанного израильской компанией Paragon Solutions.

Два журналиста под прицелом

Citizen Lab, наблюдатель за цифровыми правами при Университете Торонто, подтвердил судебные доказательства того, что как минимум два журналиста — Чиро Пеллегрино из итальянского издания Fanpage.it и анонимный «выдающийся европейский журналист» — имели свои iPhone с iOS 18.2.1 зараженными шпионским ПО Graphite от Paragon в начале 2025 года.

«Наше судебное исследование подтвердило, что одно из устройств журналиста было скомпрометировано шпионским ПО Graphite от Paragon в январе и начале февраля 2025 года, когда оно работало на iOS 18.2.1», — говорится в отчете, опубликованном Citizen Labs в четверг.

«Мы с высокой степенью уверенности связываем компрометацию с Graphite, поскольку журналы на устройстве показали, что оно сделало серию запросов к серверу, который в тот же период совпадал с нашим опубликованным отпечатком Fingerprint P1.»

Та же учетная запись iMessage, идентифицированная в предыдущих атаках, была найдена в журналах устройства Пеллегрино, «что мы связываем с попыткой заражения нулевым кликом Graphite».

Поскольку поставщики шпионского ПО обычно выделяют специализированную инфраструктуру для каждого клиента, учетная запись «будет использоваться исключительно одним клиентом/оператором Graphite, и мы заключаем, что этот клиент нацелился на обоих лиц», добавил отчет.

Apple уведомила обеих жертв 29 апреля 2025 года, а также выбранных пользователей iOS, предупредив их о том, что их устройства были нацелены на «современное шпионское ПО». Теперь исправленная уязвимость нулевого дня в iMessage — CVE-2025-43200 — позволила шпионскому ПО заражать iPhone без какого-либо взаимодействия со стороны пользователя.

Что такое Graphite?

Graphite — это продвинутый инструмент слежки, разработанный Paragon Solutions, израильской компанией в области киберразведки, имеющей связи с бывшим премьер-министром Израиля Эхудом Бараком. Этот инструмент позволяет государственным клиентам удаленно получать доступ к устройству цели, извлекая такие данные, как сообщения, электронные письма, фотографии, данные о местоположении и даже доступ в реальном времени к микрофону или камере.

Как работала атака

Злоумышленник использовал общую учетную запись iMessage, обозначенную как «ATTACKER1» в исследовательских документах, чтобы отправить специально подготовленные сообщения, использующие логическую ошибку в том, как iOS обрабатывал злонамеренно подготовленные фотографии или видео, переданные через ссылку iCloud. Эксплойт затронул устройства, работающие на iOS 18.2.1 и более ранних версиях.

Атака была известна как эксплойт нулевого клика — не требовала никаких действий от жертвы — никаких кликов, никаких загрузок — оставляя практически никаких видимых следов на телефоне. Как только шпионское ПО было активировано, оно подключалось к серверу командования и управления по адресу https://46.183.184[.]91, VPS, связанному с инфраструктурой Paragon, и тайно получало доступ к сообщениям, электронным письмам, фотографиям, местоположению, микрофону, камере и многому другому.

Apple тихо решила проблему 10 февраля 2025 года в рамках iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 и visionOS 2.3.1. Однако использование этого эксплойта нулевого дня было раскрыто публично только в июне после расследования Citizen Lab.

В своем теперь обновленном уведомлении производитель iPhone описывает уязвимость как «логическую проблему, существовавшую при обработке злонамеренно подготовленной фотографии или видео, переданного через ссылку iCloud», отмечая, что уязвимость была устранена за счет улучшенной проверки ввода.

Компания также подтвердила сообщения о том, что она осведомлена о том, что уязвимость «могла быть использована в крайне сложной атаке против специально нацеленных лиц».

Журналисты Европы в опасности из-за кризиса шпионского ПО

На момент публикации отчета Citizen Lab три европейских журналиста были подтверждены как цели шпионского ПО Graphite от Paragon — двое через судебные доказательства и один через уведомление Meta. Один случай связан с итальянским изданием Fanpage.it, что вызывает срочные вопросы о том, кто стоит за атаками и существует ли какая-либо юридическая обоснованность.

«Отсутствие ответственности для этих целей шпионского ПО подчеркивает степень, до которой журналисты в Европе продолжают подвергаться этой высокоинвазивной цифровой угрозе и подчеркивает опасности распространения и злоупотребления шпионским ПО», — заключил отчет.