<div id="post_message_797879">

Эксперты из компании Citizen Lab <a href="https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/" target="_blank">заявили</a>, что у них есть веские доказательства того, что производитель коммерческого шпионского ПО Paragon до недавнего времени имел возможность взламывать новейшие версии iOS.<br/>
<br/>
В своем отчете исследователи рассказали, что обнаружили использование шпионского ПО Graphite компании Paragon против двух журналистов. Логи с мобильных устройств жертв показали, что оба телефона взаимодействовали с одним и тем же управляющим сервером спайвари.<br/>
<br/>
Сообщается, что жертвами этих атак стали известный европейский журналист, пожелавший остаться анонимным, и Чиро Пеллегрино (Ciro Pellegrino) — журналист итальянского издания Fanpage.it.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">Израильский разработчик шпионского ПО Paragon Solutions Ltd. был основан в 2019 году. По данным СМИ, в декабре 2024 года компанию <a href="https://www.reuters.com/markets/deals/israeli-spyware-firm-paragon-acquired-by-us-investment-group-report-says-2024-12-16/" target="_blank">поглотила </a>инвестиционная группа AE Industrial Partners из Флориды.<br/>
<br/>
В отличие от своих конкурентов (таких как NSO Group), Paragon утверждает, что продает свои инструменты для наблюдения только правоохранительным и разведывательным органам демократических стран, которым требуется отслеживать опасных преступников.</font>
</td>
</tr>
</table>
</div>По словам экспертов, атаки произошли в начале 2025 года, а 29 апреля представители Apple отправили пострадавшим уведомления о том, что они стали жертвами «продвинутого шпионского ПО».<br/>
<br/>
С помощью Graphite злоумышленники атаковали iPhone жертв под управлением iOS 18.2.1 и использовали для этого уязвимость <a href="https://support.apple.com/en-us/122174" target="_blank">CVE-2025-43200</a>, которая на тот момент являлась уязвимостью нулевого дня.<br/>
<br/>
Компания Apple исправила эту уязвимость в феврале 2025 года, с релизом iOS 18.3.1, и описывала ее как «логическую проблему, которая возникает при обработке вредоносных фотографий или видео, переданных через iCloud Link». Интересно, что соответствующий идентификатор CVE был добавлен в бюллетень безопасности только на прошлой неделе.<br/>
<br/>
Согласно анализу Citizen Lab, вектором доставки Graphite являлось приложение iMessage. Злоумышленники использовали отдельную учетную запись (которую исследователи обозначили как «ATTACKER1») для отправки специально подготовленных сообщений, эксплуатирующих CVE-2025-43200 для удаленного выполнения кода.<br/>
<br/>
Это позволяло доставлять Graphite на устройства жертв без какого-либо взаимодействия с пользователями.<br/>
<br/>
После активации спайварь связывалась со своим управляющим сервером для получения дальнейших инструкций. В случае, изученном специалистами, зараженный телефон подключался к VPS по адресу <a href="https://46.183.184" target="_blank">https://46.183.184</a>[.]91, связанному с инфраструктурой Paragon.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521913/diagram.jpg"/><br/>
<br/>
Хотя на устройствах пострадавших журналистов оставалось мало следов, исследователям удалось восстановить некоторые журналы, содержащие достаточно доказательств, чтобы связать эти атаки Graphite.<br/>
<br/>
Напомним, что <a href="https://xakep.ru/2025/03/20/paragon-whatsapp/" target="_blank">весной 2025 года</a> в мессенджере WhatsApp исправили уязвимость нулевого дня, которая также использовалась для установки Graphite на целевые устройства.<br/>
<br/>
<a href="https://xakep.ru/2025/06/17/paragon-cve-2025-43200/" target="_blank">@ xakep.ru</a>
</div>