Аналітики з кібербезпеки компанії Proofpoint виявили та розкрили інформацію про нову цілеспрямовану кампанію, що використовує вразливості в операційній системі iOS. За цією діяльністю стоїть російська державна хакерська група, відома як TA446. Ця ж група відстежується ширшою спільнотою кібербезпеки під назвами Callisto, Coldriver та Seaborgium. З високою впевненістю встановлено, що зловмисники застосовують експлойт-кіт DarkSword, який став відомим нещодавно, для компрометації мобільних пристроїв Apple.
Кампанія розгортається через цільові електронні листи, що є класичним прикладом спір-фішингу (spear-phishing). Зловмисники надсилають спеціально підготовлені повідомлення, які містять шкідливі посилання або вкладення. Основна мета цих листів — спонукати жертву до взаємодії, що призведе до активації експлойт-кіту DarkSword.
- DarkSword: Це експлойт-кіт, призначений для використання вразливостей в операційній системі iOS. Хоча конкретні технічні деталі вразливостей, які експлуатуються, не були повністю розкриті в публічному доступі, сам факт його використання державним актором свідчить про його ефективність та здатність обходити захисні механізми iOS.
- Цільова атака: На відміну від масових фішингових кампаній, спір-фішинг фокусується на конкретних особах або організаціях, що робить його більш ефективним та складним для виявлення.
- Компрометація iOS: Успішна експлуатація дозволяє зловмисникам отримати несанкціонований доступ до пристрою жертви, потенційно викрасти дані, встановити шпигунське програмне забезпечення або отримати контроль над системою.
Цілеспрямовані атаки з боку TA446 (Callisto) становлять значну загрозу для широкого кола організацій та осіб, особливо тих, що становлять інтерес для російських державних спецслужб. До потенційних жертв належать:
- Державні установи: Органи влади, міністерства, відомства.
- Оборонний сектор: Військові організації, підприємства ОПК.
- Критична інфраструктура: Енергетичні компанії, телекомунікації, транспорт.
- Неурядові організації та аналітичні центри: Особливо ті, що займаються питаннями геополітики, безпеки та прав людини.
- Журналісти та активісти: Особи, що мають доступ до чутливої інформації або є публічними фігурами.
- IT-фахівці та керівники: Особи, що мають привілейований доступ до корпоративних мереж та даних.
З огляду на геополітичний контекст, українські організації та громадяни є пріоритетною ціллю для подібних російських APT-груп.
Для мінімізації ризиків компрометації через такі атаки, як ті, що використовують DarkSword, рекомендується дотримуватися наступних заходів безпеки:
- Негайне оновлення iOS: Завжди встановлюйте останні оновлення операційної системи iOS, як тільки вони стають доступними. Оновлення часто містять виправлення для виявлених вразливостей.
- Обережність з електронними листами: Будьте вкрай обережні з електронними листами, особливо тими, що містять посилання або вкладення, навіть якщо вони здаються надійними. Перевіряйте відправника та зміст повідомлення.
- Багатофакторна автентифікація (MFA): Увімкніть MFA для всіх облікових записів, де це можливо, особливо для корпоративних та хмарних сервісів.
- Програми управління мобільними пристроями (MDM): Для організацій рекомендується впровадження MDM-рішень для централізованого управління та забезпечення безпеки корпоративних мобільних пристроїв.
- Навчання співробітників: Проводьте регулярні тренінги з кібергігієни та розпізнавання фішингових атак для всього персоналу.
- Використання надійних VPN: Для захисту трафіку, особливо при використанні публічних Wi-Fi мереж.