Мы продолжаем разбираться с масштабной атакой на пользователей устройств Apple, которая случилась на прошлой неделе. И у нас немного факты не бьются — кажется, мы стали свидетелями двух атак с разных сторон.

Напомним, Apple разослала пользователям из 92 стран уведомления о том, что их айфоны могли подтвергнуться прицельной атаке злоумышленников, при этом сама по себе атака была не ковровой бомбардировкой, а именно точечными ударами по определенным пользователям. Рассылка шла по электронной почте и iMessage с использованием контактных данных, связанных с их учетной записью Apple ID.

"Вероятно, эта атака направлена именно на вас из-за того, кем вы являетесь или чем занимаетесь. И хотя подобные атаки невозможно диагностировать со 100-процентной вероятностью, Apple очень доверяет этому предупреждению — пожалуйста, отнеситесь к нему серьезно".

Одновременно с этим наши пользователи начали жаловаться на сообщения с просьбой ввести пароль от учетной записи Apple ID, причем сами учетки были незнакомы (см. скрины выше). Сперва мы подумали, что это звенья одной цепи, однако опросив пользователей узнали, что ни один из них писем от Apple не получал, да и формат атаки разный.

Нам пока не очень понятно кто и как проводил атаку на российских пользователей, но в случае одной из атак подставной Apple ID был привязан к почтовому домену, размещенному на nic.ru. Мы связались с Николаем Л., на которого он был зарегистрирован. По его словам, домен никак не использовался, но обещал проверить что и как. Также у него же в начале апреля увели учетную запись Telegram, так что может это штуки связанные.

Пока нам не очень понятен механизм атаки, а также по каким признакам выбирались жертвы — разброс тут большой, начиная от медийных личностей и заканчивая одним из наших инженеров. Но будем изучать вопрос дальше. Если есть идеи — они приветствуются.

1 минута

15 апреля 2024