Η ρωσική ομάδα TA446, συνδεδεμένη με την FSB, χρησιμοποιεί για πρώτη φορά το exploit kit DarkSword για να παραβιάζει iPhone και λογαριασμούς iCloud. Η εκστρατεία spear-phishing αξιοποιεί ψεύτικες προσκλήσεις του Atlantic Council και στοχεύει κυβερνητικούς, ακαδημαϊκούς και χρηματοπιστωτικούς φορείς σε πολύ ευρύτερη κλίμακα από το συνηθισμένο.
Για χρόνια, το iPhone θεωρούνταν το πιο ασφαλές smartphone στην αγορά — μια αντίληψη που η ρωσική κυβερνοκατασκοπεία μόλις άρχισε να αποδομεί συστηματικά. Η ομάδα TA446, γνωστή και ως Callisto ή Star Blizzard και εκτιμάται ότι λειτουργεί υπό την αιγίδα της FSB, ξεκίνησε νέα εκστρατεία spear-phishing που για πρώτη φορά στρέφεται ενάντια σε συσκευές Apple και λογαριασμούς iCloud. Το όπλο της επιλογής: το DarkSword, ένα exploit kit που διέρρευσε πρόσφατα στο διαδίκτυο και συνδυάζει έξι ευπάθειες του iOS, από τις οποίες τρεις ήταν άγνωστες έως τότε στην Apple.
Η εκστρατεία εντοπίστηκε και αποδόθηκε με υψηλή βεβαιότητα στην TA446 από την εταιρεία κυβερνοασφάλειας Proofpoint. Τα κακόβουλα emails εστάλησαν στις 26 Μαρτίου από παραβιασμένους λογαριασμούς και παρουσιάζονταν ως επίσημες προσκλήσεις σε συζήτηση από το Atlantic Council, ένα από τα πιο αναγνωρίσιμα think tanks της Δύσης. Μέσα στα μηνύματα κρυβόταν το GHOSTBLADE, κακόβουλο λογισμικό συλλογής δεδομένων που ενεργοποιούνταν αποκλειστικά σε iPhone — οι χρήστες άλλων συσκευών ανακατευθύνονταν σε ένα αθώο PDF για να μην κινηθούν υποψίες. Μεταξύ των στόχων ήταν ο Leonid Volkov, πολιτικός διευθυντής του Ιδρύματος Κατά της Διαφθοράς του Ναβάλνι.
Αυτό που ξεχωρίζει αυτή τη φορά δεν είναι μόνο η τεχνολογία, αλλά και η κλίμακα. Σύμφωνα με την Proofpoint και την εταιρεία Malfors, η στόχευση ήταν «πολύ ευρύτερη από το συνηθισμένο», περιλαμβάνοντας κυβερνητικούς αξιωματούχους, ακαδημαϊκούς, χρηματοπιστωτικά ιδρύματα, νομικές εταιρείες και think tanks. Η TA446 ήταν ως τώρα γνωστή κυρίως για κλοπή διαπιστευτηρίων μέσω phishing — η στροφή προς εκμετάλλευση κινητών συσκευών σηματοδοτεί μια ποιοτική αναβάθμιση των δυνατοτήτων της.
Το DarkSword εντοπίστηκε για πρώτη φορά στις αρχές Μαρτίου από την Ομάδα Πληροφοριών Απειλών της Google, την Lookout και την iVerify. Στις 23 Μαρτίου, μια νεότερη έκδοσή του διέρρευσε στο GitHub — ένα γεγονός που οι ειδικοί χαρακτηρίζουν ως «εκδημοκρατισμό» της κυβερνοκατασκοπείας. «Ακόμη και άπειροι κακόβουλοι δρώντες μπορούν πλέον να αναπτύξουν το προηγμένο κιτ κατασκοπείας για iOS», δήλωσε ο Justin Albrecht της Lookout. Το εργαλείο επιτρέπει πλήρη έλεγχο σε iPhone με iOS 18.4 έως 18.7, καθιστώντας ευάλωτες ακόμα και τις πιο πρόσφατες συσκευές.
Η Apple έχει ήδη αντιδράσει. Εκτός από τις ενημερώσεις iOS 15.8.7 και iOS 16.7.15 που κυκλοφόρησαν στις 11 Μαρτίου για παλαιότερα μοντέλα, η εταιρεία άρχισε να στέλνει ειδοποιήσεις απευθείας στην οθόνη κλειδώματος συσκευών με παλαιότερες εκδόσεις iOS, προτρέποντας τους χρήστες να ενημερώσουν άμεσα. Για όσους δεν μπορούν να αναβαθμίσουν, η Apple συνιστά την ενεργοποίηση της Λειτουργίας Lockdown, σημειώνοντας ότι δεν έχει καταγραφεί καμία επιτυχημένη επίθεση spyware σε συσκευή με αυτή τη λειτουργία ενεργή. Το ερώτημα που παραμένει ανοιχτό είναι πόσοι χρήστες θα ακούσουν την προειδοποίηση πριν να είναι αργά.
