Кибератака на iPhone украинцев: почему риски атаки могут быть преувеличением
19 марта в ряде медиа появилась информация о масштабной кибератаке на украинских пользователей iPhone через взломанные украинские сайты, в частности правительственный ресурс с доменом .gov.ua.
ЭП обратилась к специалистам по кибербезопасности, чтобы понять, насколько эта угроза является реальной.
Что случилось
Исследователи киберугроз из Google, iVerify и Lookout обнаружили, что группа вероятно российских хакеров (UNC6353) взломала несколько украинских сайтов, в том числе по меньшей мере один государственный ресурс в домене .gov.ua, и разместила на них скрытый вредоносный код.
Атака продолжалась как минимум с декабря 2025 года по март 2026-го.
Если пользователь iPhone заходил на зараженный сайт, его устройство могло автоматически инфицироваться через эксплойт DarkSword. По оценкам исследователей, под риском находились устройства на iOS 18.4-18.6.2 - это около 270 млн iPhone в мире.
Эксплойт использовал уязвимость iOS, чтобы установить шпионское ПО Ghostblade. Оно могло собирать широкий спектр данных: пароли от Wi-Fi, SMS, историю звонков, геолокацию, браузерную историю, заметки, календарь и даже медицинскую информацию.
В отличие от предыдущих атак этой группировки, которые были направлены на кражу криптовалюты, на этот раз основной целью была слежка и сбор разведывательной информации.
Почему угроза преувеличена
Основатель и CEO компании по кибербезопасности AmonSul Сергей Харюк считает, что реальный масштаб угрозы значительно меньше, чем его подают в медиа.
По его словам, зараженным государственным сайтом был, в частности, ресурс Седьмого апелляционного административного суда в Виннице, который имеет очень низкий трафик. Соответственно количество потенциально пораженных пользователей ограничено.
Кроме того, уязвимость касалась версий iOS 18.4-18.6.2, которые вышли еще в марте 2025 года и с тех пор неоднократно обновлялись. Это означает, что большинство пользователей, которые регулярно обновляют систему, не подпадали под риск.
По словам Харюка, сам эксплойт, судя по всему, уже "сожжен", то есть его существование раскрыто, и именно поэтому он попал на коммерческий рынок: разработчики пытаются отбить его стоимость, продавая доступ к нему третьим сторонам.
Именно в таких целях UNC6353 и могли его использовать, исходя из опыта их предыдущей деятельности.
Это также объясняет, почему за атакой стоит не классическая государственная группировка вроде российских ГРУ или ФСБ, а финансово мотивированные киберпреступники.
То есть несмотря на громкие заголовки, угроза касается относительно узкого круга людей: тех, кто посещал малоизвестный сайт суда и при этом не обновлял iPhone почти год.
Также другой собеседник ЭП из сферы киберзащиты отмечает, что подобные инциденты случаются регулярно и не стоит экстраполировать их на миллионы украинских пользователей.
По его словам, постоянные попытки найти уязвимости являются одной из причин частых обновлений операционных систем смартфонов.
В то же время он отмечает, что отдельный вопрос, как именно вредоносный код попал на сайт в государственном домене. Это уже зона ответственности соответствующих органов.