Хакеры снова не изобрели ничего нового, а просто взяли старый добрый фишинг и обернули его в страницы, похожие на Apple. По данным нескольких киберисследователей, именно через поддельные сайты злоумышленники пытались выманить логины Apple ID, чтобы потом залезть в iCloud backups и, по сути, получить содержимое iPhone целиком.
История неприятна не техникой, а масштабом привычки. Пока индустрия продаёт образ «сложных» атак и дорогого шпионского софта, часть государственных заказчиков, судя по этому расследованию, всё ещё покупает более дешёвый и грязный вариант с фейковыми страницами и массовым обманом. Для жертв разницы мало: результат один — чужой доступ к переписке, фото и всему, что успело улететь в резервную копию.
В отчётах Access Now, Lookout и SMEX речь идёт о кампании, которая длилась с 2023 по 2025 год и била по журналистам, активистам и чиновникам на Ближнем Востоке и в Северной Африке. Под раздачу также могли попасть люди в Соединённом Королевстве, а возможно, и в США, либо выпускники американских университетов. Странный набор целей, если вы думали, что шпионаж всегда работает по учебнику.
Lookout связала эту активность с группой BITTER APT, которую называет ответвлением индийского «hack-for-hire» стартапа Appin. В наборе — почти 1 500 поддельных веб-адресов, маскирующихся под реальные сервисы. Среди Apple-имитаций, например, фигурировали facetime-web[.]me-en[.]io, apple[.]id-us[.]cc, icloud[.]com-ar[.]me, icloud[.]com-service[.]info и signin-apple[.]com-en-uk[.]info.
Тут не было красивой эксплойт-магии уровня уязвимостей в цепочках, о которых сейчас любят писать с придыханием. Схема была грубее: жертву уговаривали ввести данные Apple ID, а дальше атакующие пытались добраться до iCloud backups. Если это срабатывает, им не нужен сам телефон. Им нужен его цифровой слепок.
И это ровно тот случай, когда «простая» атака опаснее, чем звучит. Резервная копия часто хранит то, что пользователь считает уже спрятанным, хотя на деле это просто ещё одна точка входа для чужого доступа. Apple здесь не спасает сама маркировка бренда, а привычка людей доверять знакомому экрану, особенно если он подделан достаточно аккуратно.
Кампания не ограничивалась одной экосистемой. По данным исследователей, поддельные страницы и фишинговая инфраструктура также использовались против пользователей Google, Microsoft, Signal, WhatsApp и Yahoo. То есть это не «атака на iPhone», а конвейер по сбору чужих учётных данных там, где люди всё ещё верят в знакомый логотип.
Тренд тут неприятный и довольно прозрачный: частные подрядчики по взлому становятся удобной прокладкой для тех, кому нужен результат без лишних следов. Justin Albrecht из Lookout прямо говорит, что такие группы дают заказчикам правдоподобное отрицание причастности и, вероятно, стоят дешевле коммерческого шпионского ПО. Похоже, рынок слежки тоже оптимизируется, как будто это обычный SaaS.