Apple устранила уязвимость, через которую распространялось шпионское ПО Paragon

[Artifact]

Эксперты из компании Citizen Lab заявили, что у них есть веские доказательства того, что производитель коммерческого шпионского ПО Paragon до недавнего времени имел возможность взламывать новейшие версии iOS.



В своем отчете исследователи рассказали, что обнаружили использование шпионского ПО Graphite компании Paragon против двух журналистов. Логи с мобильных устройств жертв показали, что оба телефона взаимодействовали с одним и тем же управляющим сервером спайвари.



Сообщается, что жертвами этих атак стали известный европейский журналист, пожелавший остаться анонимным, и Чиро Пеллегрино (Ciro Pellegrino) — журналист итальянского издания Fanpage.it.

Израильский разработчик шпионского ПО Paragon Solutions Ltd. был основан в 2019 году. По данным СМИ, в декабре 2024 года компанию поглотила инвестиционная группа AE Industrial Partners из Флориды.



В отличие от своих конкурентов (таких как NSO Group), Paragon утверждает, что продает свои инструменты для наблюдения только правоохранительным и разведывательным органам демократических стран, которым требуется отслеживать опасных преступников.

По словам экспертов, атаки произошли в начале 2025 года, а 29 апреля представители Apple отправили пострадавшим уведомления о том, что они стали жертвами «продвинутого шпионского ПО».



С помощью Graphite злоумышленники атаковали iPhone жертв под управлением iOS 18.2.1 и использовали для этого уязвимость CVE-2025-43200, которая на тот момент являлась уязвимостью нулевого дня.



Компания Apple исправила эту уязвимость в феврале 2025 года, с релизом iOS 18.3.1, и описывала ее как «логическую проблему, которая возникает при обработке вредоносных фотографий или видео, переданных через iCloud Link». Интересно, что соответствующий идентификатор CVE был добавлен в бюллетень безопасности только на прошлой неделе.



Согласно анализу Citizen Lab, вектором доставки Graphite являлось приложение iMessage. Злоумышленники использовали отдельную учетную запись (которую исследователи обозначили как «ATTACKER1») для отправки специально подготовленных сообщений, эксплуатирующих CVE-2025-43200 для удаленного выполнения кода.



Это позволяло доставлять Graphite на устройства жертв без какого-либо взаимодействия с пользователями.



После активации спайварь связывалась со своим управляющим сервером для получения дальнейших инструкций. В случае, изученном специалистами, зараженный телефон подключался к VPS по адресу https://46.183.184[.]91, связанному с инфраструктурой Paragon.







Хотя на устройствах пострадавших журналистов оставалось мало следов, исследователям удалось восстановить некоторые журналы, содержащие достаточно доказательств, чтобы связать эти атаки Graphite.



Напомним, что весной 2025 года в мессенджере WhatsApp исправили уязвимость нулевого дня, которая также использовалась для установки Graphite на целевые устройства.



@ xakep.ru