Кібератака на iPhone українців: чому загрози можуть бути перебільшені
19 березня в різних медіа з'явилася новина про значну кібератаку на українських власників iPhone, яка була здійснена через зламані українські веб-сайти, зокрема через урядовий сайт з доменом .gov.ua.
Європейський парламент звернувся до експертів з кібербезпеки для оцінки ступеня реальності цієї загрози.
Що трапилось
Експерти з кібербезпеки компаній Google, iVerify та Lookout виявили, що ймовірна група російських хакерів, відома під назвою UNC6353, здійснила злом кількох українських веб-ресурсів, серед яких є принаймні один урядовий сайт у домені .gov.ua, на який було інтегровано прихований шкідливий код.
Атака відбувалася, принаймні, з грудня 2025 року до березня 2026 року.
Якщо власник iPhone відвідував небезпечний веб-сайт, його пристрій міг автоматично отримати вірус через експлойт DarkSword. За даними дослідників, під загрозою опинилися пристрої з iOS версій 18.4-18.6.2, що становить приблизно 270 мільйонів iPhone по всьому світу.
Експлойт скористався вразливістю iOS для впровадження шпигунського програмного забезпечення Ghostblade. Це ПЗ здатне збирати різноманітну інформацію, включаючи паролі Wi-Fi, текстові повідомлення, історію дзвінків, дані про геолокацію, історію браузера, нотатки, записи в календарі та навіть медичні дані.
На відміну від попередніх атак цього угруповання, які були спрямовані на крадіжку криптовалюти, цього разу основною метою було стеження та збір розвідувальної інформації.
Чому ризик є перебільшеним
Засновник та генеральний директор кібербезпекової компанії AmonSul Сергій Харюк переконаний, що реальний рівень загроз є значно нижчим, ніж його зображують у засобах масової інформації.
За його словами, одним із заражених державних веб-ресурсів виявився сайт Сьомого апеляційного адміністративного суду у Вінниці, який характеризується досить малим обсягом відвідувань. Таким чином, число користувачів, які могли постраждати, є обмеженим.
Крім того, вразливість стосувалася версій iOS 18.4-18.6.2, які вийшли ще у березні 2025 року і з того часу неодноразово оновлювалися. Це означає, що більшість користувачів, які регулярно оновлюють систему, не підпадали під ризик.
За словами Харюка, сам експлойт, судячи з усього, вже "спалений", тобто його існування розкрите, і саме тому він потрапив на комерційний ринок: розробники намагаються відбити його вартість, продаючи доступ до нього третім сторонам.
У precisely таких ситуаціях UNC6353 міг би бути застосований, враховуючи досвід їхньої попередньої роботи.
Це також пояснює, чому за атакою стоїть не класичне державне угруповання на кшталт російських ГРУ чи ФСБ, а фінансово мотивовані кіберзлочинці.
Тобто попри гучні заголовки, загроза стосується відносно вузького кола людей: тих, хто відвідував маловідомий сайт суду і при цьому не оновлював iPhone майже рік.
Інший експерт в галузі кіберзахисту, який спілкувався з ЕП, підкреслює, що такі інциденти є звичайними і не слід поширювати їхній вплив на мільйони українців, які користуються Інтернетом.
На його думку, регулярні спроби виявлення вразливостей є однією з основних причин, чому операційні системи смартфонів так часто оновлюються.
