Ρώσοι χάκερ εισβάλουν στο iCloud μέσω απατηλής πρόσκλησης του Atlantic Council

2026-03-29 - 16:03

Ρώσοι χάκερ που, σύμφωνα με ερευνητές, χρηματοδοτούνται από το κράτος, αξιοποιούν το κακόβουλο λογισμικό DarkSword iOS 0 διέρρευσε πρόσφατα – σε νέα εκστρατεία spear-phishing, στοχεύοντας συσκευές της Apple και λογαριασμούς iCloud. Η εταιρεία κυβερνοασφάλειας Proofpoint γνωστοποίησε την Παρασκευή ότι η εκστρατεία αποδίδεται με υψηλή βεβαιότητα στην ομάδα TA446 — γνωστή και ως Callisto, COLDRIVER ή Star Blizzard — η οποία εκτιμάται ότι συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB). Η εκστρατεία περιλάμβανε ψεύτικα emails «πρόσκλησης συζήτησης» που παρίσταναν το Atlantic Council και εστάλησαν στις 26 Μαρτίου από παραβιασμένους λογαριασμούς. Μέσω αυτών, οι δράστες διέδιδαν το κακόβουλο λογισμικό συλλογής δεδομένων GHOSTBLADE, αξιοποιώντας το exploit kit DarkSword. Μεταξύ των στόχων ήταν ο Leonid Volkov, Ρώσος πολιτικός της αντιπολίτευσης και πολιτικός διευθυντής του Ιδρύματος Κατά της Διαφθοράς. Σύμφωνα με την Proofpoint και την εταιρεία ασφαλείας Malfors, η στόχευση υπήρξε «πολύ ευρύτερη από το συνηθισμένο», περιλαμβάνοντας κυβερνητικούς, ακαδημαϊκούς, χρηματοπιστωτικούς και νομικούς φορείς, καθώς και think tanks. Η ομάδα TA446 είναι γνωστή για εκστρατείες spear-phishing που αποσκοπούν στην κλοπή διαπιστευτηρίων, ωστόσο η χρήση του DarkSword σηματοδοτεί επέκταση προς την εκμετάλλευση κινητών συσκευών. «Δεν έχουμε παρατηρήσει προηγουμένως τον TA446 να στοχεύει λογαριασμούς iCloud χρηστών ή συσκευές Apple, αλλά η υιοθέτηση του διαρρεύσαντος εργαλείου εκμετάλλευσης DarkSword iOS έχει πλέον δώσει τη δυνατότητα στον φορέα να στοχεύσει συσκευές iOS», ανέφερε η Proofpoint. Τα emails είχαν σχεδιαστεί ώστε να ενεργοποιούν το exploit αποκλειστικά σε iPhone, ενώ οι χρήστες άλλων συσκευών ανακατευθύνονταν σε ακίνδυνο PDF-δόλωμα. Παράλληλα, η Proofpoint κατέγραψε αύξηση στον όγκο των email του TA446 τις τελευταίες εβδομάδες, με παράλληλες εκστρατείες που χρησιμοποιούν το γνωστό backdoor MAYBEROBOT μέσω προστατευμένων αρχείων ZIP. Το DarkSword εντοπίστηκε για πρώτη φορά στις αρχές του μήνα από την Ομάδα Πληροφοριών Απειλών της Google, την Lookout και την iVerify. Το εργαλείο συνδυάζει έξι ευπάθειες — μεταξύ αυτών τρεις zero-days — που επιτρέπουν πλήρη έλεγχο σε iPhone με iOS 18.4 έως 18.7. Στις 23 Μαρτίου, το TechCrunch ανέφερε ότι νεότερη έκδοση του DarkSword διέρρευσε στο GitHub, γεγονός που, σύμφωνα με ειδικούς, θα μπορούσε να «εκδημοκρατίσει» την πρόσβαση σε εργαλεία κυβερνοκατασκοπείας επιπέδου κρατών. «Το DarkSword ανατρέπει την κοινή πεποίθηση ότι τα iPhone είναι άτρωτα στις κυβερνοαπειλές», δήλωσε ο Justin Albrecht, κύριος ερευνητής στην Lookout, επισημαίνοντας πως η διαρρεύσασα έκδοση επιτρέπει «ακόμη και σε άπειρους κακόβουλους δρώντες να αναπτύξουν το προηγμένο κιτ κατασκοπείας για iOS». Η Apple απαντά με ειδοποιήσεις στην οθόνη κλειδώματος Η Apple έχει αρχίσει να αποστέλλει ειδοποιήσεις στην οθόνη κλειδώματος συσκευών που λειτουργούν με παλαιότερες εκδόσεις iOS, προειδοποιώντας για ενεργές διαδικτυακές επιθέσεις και καλώντας τους χρήστες να ενημερώσουν άμεσα το λειτουργικό τους σύστημα. Οι ειδοποιήσεις, που εντοπίστηκαν πρώτα από το MacRumors, εμφανίζονται ακόμη και σε συσκευές με iOS 17.0. Η εταιρεία κυκλοφόρησε τις ενημερώσεις iOS 15.8.7 και iOS 16.7.15 στις 11 Μαρτίου, επεκτείνοντας την προστασία σε παλαιότερα μοντέλα. Όσοι εξακολουθούν να χρησιμοποιούν iOS 13 ή 14 καλούνται να αναβαθμίσουν στο iOS 15 για να λάβουν τις κρίσιμες ενημερώσεις ασφαλείας. Παράλληλα, η Apple συνιστά την ενεργοποίηση της Λειτουργίας Lockdown για όσους δεν μπορούν να ενημερώσουν, σημειώνοντας πως «δεν γνωρίζει καμία επιτυχημένη επίθεση μισθοφορικού λογισμικού κατασκοπείας εναντίον συσκευής Apple με ενεργοποιημένη τη Λειτουργία Lockdown».