Ne všechny útoky na iPhony dnes spoléhají na drahé a technicky extrémně složité špionážní nástroje. Nové zjištění bezpečnostních výzkumníků ukazuje, že útočníkům často stačí mnohem obyčejnější trik: přesvědčit oběť, aby sama zadala své přihlašovací údaje na podvržené stránce připomínající Apple.
Mohlo by vás zajímat
Právě tak podle nové analýzy fungovala dlouhodobá kampaň namířená na novináře, aktivisty i některé státní úředníky v oblasti Blízkého východu a severní Afriky. Pokud útočníci získali přístup k Apple účtu, mohli se následně dostat i k zálohám na iCloudu, a tím pádem fakticky k velmi citlivému obsahu celého zařízení.
Na případu je zajímavé hlavně to, že nešlo o jednorázový incident, ale o širší a dlouhodobější operaci. Access Now popsalo útoky z let 2023 až 2025, přičemž oběťmi byli mimo jiné dva vysoce postavení představitelé egyptské občanské společnosti a také libanonský novinář. Lookout pak na základě analýzy infrastruktury a škodlivého kódu spojuje celou operaci s aktérem navázaným na skupinu BITTER APT. Výzkumní experti zároveň upozorňují na to, že šlo pravděpodobně o model „hack for hire“, tedy situaci, kdy si někdo podobné špionážní operace jednoduše objedná u externí skupiny.
V případě uživatelů Applu byl princip útoku relativně přímočarý. Oběť dostala zprávu nebo odkaz, který vypadal jako legitimní komunikace od Applu, často se subdoménou navrženou tak, aby na první pohled působila důvěryhodně. Access Now ve své zprávě popisuje například adresy, napodobující přihlášení k Apple ID nebo FaceTime. Jakmile uživatel na stránce vyplnil své údaje, útočník získal klíč k Apple účtu a tím i možnost dostat se k osobním souborům, kontaktům či cloudovým zálohám. To je přesně ten typ útoku, který nepůsobí tak „filmově“ jako zero click spyware, ale v praxi může být pro oběť stejně ničivý.
Mohlo by vás zajímat
Zmínění experti navíc zdokumentovali skutečně rozsáhlou infrastrukturu. Lookout mluví o stovkách phishingových domén používaných nejméně od roku 2023, zatímco TechCrunch upozornil, že v širším souboru dat šlo téměř o 1 500 adres napodobujících legitimní služby. Nešlo přitom jen o Apple. Kampaň zneužívala i jména služeb a platforem jako Google, Microsoft, Signal, WhatsApp, Yahoo, Zoom nebo různých médií a státních institucí. Zjednodušeně řečeno, útočníci stavěli falešné vstupní brány tam, kde očekávali největší šanci, že jim oběť uvěří.
Delegování útoků
Celá kauza zároveň dobře ukazuje jeden nepříjemný trend současné kyberšpionáže. Podle serveru TechCrunch roste počet případů, kdy státní nebo na stát napojené subjekty neprovozují podobné operace přímo, ale delegují je na soukromé hack for hire skupiny. Výsledkem je levnější, flexibilnější a pro zadavatele i pohodlnější model s určitou mírou popiratelnosti. A pro běžného uživatele z toho plyne jednoduché poučení: ani iPhone a ani Apple účet nejsou automaticky v bezpečí jen proto, že útok nepoužívá sofistikovaný exploit. Někdy stačí opravdu jen přesvědčivě vypadající falešná stránka a chvilka nepozornosti.
Fotogalerie
Prevence je základ
Celý případ tak znovu potvrzuje, že nejslabším článkem bezpečnostního řetězce zůstává uživatel, nikoliv samotná technologie. Ani robustní zabezpečení ekosystému Applu nedokáže zabránit situaci, kdy útočník získá přístupové údaje prostřednictvím sociálního inženýrství. Z pohledu kyberbezpečnosti jde o klasický, ale stále vysoce efektivní vektor útoku, jehož význam v posledních letech neklesá, spíše naopak. V kombinaci s rostoucím trendem outsourcingu špionážních aktivit na komerční hack-for-hire skupiny se navíc jedná o model, který je škálovatelný, relativně levný a pro zadavatele obtížně dohledatelný. Pro uživatele z toho plyne jediné zásadní doporučení: ochrana účtu, důsledná kontrola přihlašovacích stránek a využívání vícefaktorového ověření dnes nejsou nadstandardem, ale naprostým minimem.
