Исследователи сообщили о новой шпионской кампании, в которой наёмная хакерская группа атаковала журналистов, активистов и чиновников в странах Ближнего Востока и Северной Африки. По данным TechCrunch, злоумышленники использовали фишинг для доступа к резервным копиям iCloud, пытались перехватывать аккаунты Signal и разворачивали Android-шпионское ПО, способное полностью контролировать устройство.
Расследование велось сразу несколькими организациями. Access Now задокументировала три подтверждённых эпизода атак в 2023–2025 годах против двух египетских журналистов и ещё одного журналиста в Ливане. Параллельный анализ провела Lookout, а по одному из кейсов отдельно работала организация SMEX. Access Now в своём отчёте пишет, что жертвами стали заметные фигуры гражданского общества, а сама кампания была трансграничной и целенаправленной.
По оценке Lookout, круг потенциальных целей был шире, чем три публично описанных кейса. Исследователи указывают на следы активности, связанные не только с гражданским обществом Египта и Ливана, но и с целями в Бахрейне, Египте, ОАЭ, Саудовской Аравии, Великобритании и, возможно, в США или среди выпускников американских университетов.
Вместо дорогих и сложных эксплойтов для iOS злоумышленники часто пытались просто выманить учётные данные Apple ID, чтобы получить доступ к резервным копиям iCloud. Если такая атака удаётся, нападавший получает не фрагмент переписки, а фактически содержимое телефона, сохранённое в облаке: сообщения, настройки, файлы приложений и другие чувствительные данные. Access Now прямо называет этот путь более дешёвой альтернативой полноценному iOS-шпионскому ПО.
Читайте также: Apple расширила выпуск iOS 18.7.7: обновление от веб-атак получили старые и новые модели iPhone и iPad
На Android использовалась другая тактика. Атакующие распространяли шпионское ПО ProSpy, маскируя его под популярные приложения для связи — Signal, WhatsApp, Zoom, а также ToTok и Botim, которые популярны на Ближнем Востоке. После установки такое ПО могло взять устройство под контроль и собирать данные жертвы. Это не просто фишинговая страница, а полноценный вредонос на телефоне.
Отдельный элемент кампании — атаки на Signal. В некоторых эпизодах злоумышленники пытались обманом заставить жертву привязать новое устройство, контролируемое атакующими, к уже существующему аккаунту Signal. После этого преступники могли синхронизировать сообщения и следить за перепиской без явных признаков классического взлома телефона. Такой приём уже использовали и другие шпионские группы, потому что он дешевле и проще, чем эксплуатация тяжёлых мобильных уязвимостей.
В части атрибуции исследователи высказываются осторожно, но довольно определённо. Lookout считает, что за кампанией стоит наёмный поставщик услуг взлома, связанный с BITTER APT — группой, которую ряд компаний подозревает в связях с интересами индийского государства. По словам исследователя Lookout Джастина Альбрехта, эта структура может быть ответвлением старой индийской hack-for-hire-экосистемы, связанной с Appin; в качестве одного из возможных следов он упомянул компанию RebSec.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
