Новая цепочка 0-day для iPhone открыла путь шпионскому софту

Екатерина Быстрова 05 Декабря 2025 - 10:34

...

Несмотря на санкции и регулярные разоблачения, коммерческие шпионские компании продолжают работать на удивление изощрённо. Новый отчёт Google Threat Intelligence Group (GTIG) показывает: один из самых известных игроков рынка — Intellexa — не просто выжил под давлением, а превратился в одного из крупнейших охотников за уязвимостями нулевого дня.

Intellexa, созданная как поставщик шпионского софта и прославившаяся инструментом Predator, сумела выстроить гибкую инфраструктуру, обходить международные ограничения и собирать цепочки эксплойтов быстрее большинства конкурентов.

По данным Google, с 2021 года компания стоит за 15 уникальными zero-day — внушительная доля от всех критических 0-day, которые TAG обнаруживала за эти годы.

Речь идёт о возможности удалённого выполнения кода, выхода за пределы песочницы, повышении прав в iOS, Android, Chrome и даже архитектуре ARM Mali.

Причём Intellexa всё чаще не пишет эксплойты сама: компания активно закупает части цепочек у внешних разработчиков, что указывает на целую скрытую «экосистему поставщиков» внутри индустрии коммерческого слежения.

Особое внимание исследователей привлекла сложная цепочка атак на iOS, которую внутри Intellexa называют smack. Она включает инструмент для анализа бинарников Mach-O прямо в памяти и позволяет загружать и выполнять код без записи на устройство.

Начинается атака с уязвимости CVE-2023-41993 в Safari, позволяющей получить произвольный доступ к памяти. Любопытная деталь: тот же компонент JSKit, лежащий в основе RCE, ранее замечали в кампаниях якобы российских киберпреступников. Похоже, Intellexa купила этот эксплойт на стороне.

Судя по отладочным строкам, компания располагает как минимум семью вариантами эксплойтов для iOS. После первичного проникновения цепочка использует ещё две уязвимости — CVE-2023-41991 и CVE-2023-41992 — чтобы получить системные привилегии. Финальный модуль PREYHUNTER разворачивает шпионские компоненты: watcher и helper.

Watcher выполняет функции собственной «системы безопасности» — отслеживает подозрительные нюансы вроде включённого режима разработчика или установленных защитных приложений и прекращает атаку, если что-то идёт не так. Helper обеспечивает закрепление в системе и выполняет разведку: перехват VoIP-звонков, кейлоггинг, доступ к камере.

По словам Google, такие модули работают как фильтр: операторы сначала проверяют, действительно ли заражение прошло успешно, и только потом запускают полноценный Predator.

Intellexa расширяет и способы доставки атак. Исследователи зафиксировали использование рекламных сетей и сторонних площадок для скрытого снятия цифровых отпечатков пользователей и перенаправления их на вредоносные серверы.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 14:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Борьба с VPN задела сайты: у российских хостингов начались сбои

Российские сайты снова попали в зону турбулентности. В конце мая и начале июня владельцы ресурсов, размещённых на крупных отечественных хостингах, начали жаловаться на падение трафика и проблемы с доступностью для части пользователей.

Как сообщает РБК, обсуждение быстро разгорелось на Searchengines.guru и DTF. Веб-мастера рассказывали, что сайты периодически перестают открываться, а посещаемость заметно проседает.

Под подозрение сразу попали технические средства противодействия угрозам (ТСПУ) — оборудование Роскомнадзора, которое используется для фильтрации интернет-трафика.

О проблемах публично сообщили сразу несколько крупных игроков рынка. Selectel указал на частичную недоступность ресурсов и связал её с новыми правилами фильтрации ТСПУ. Похожие заявления сделали Beget и Timeweb. О сбоях предупредили клиентов и отдельные сервисы, включая CRM-платформу «РосБизнесСофт» и систему управления проектами «ПланФикс».

По словам участников рынка, причина может крыться в очередной настройке механизмов борьбы с VPN.

Сначала регулятор блокировал VPN-сервисы по IP-адресам. Затем акцент сместился на протоколы. Но современные решения вроде VLESS, Trojan или MTProto давно научились маскироваться под обычный интернет-трафик.

В результате внимание, по словам экспертов, переключилось на облачную инфраструктуру, где часто размещаются VPN-сервисы. Как рассказал разработчик сервиса Now Дмитрий Маринин, многие крупные российские облачные площадки могли попасть в список подозрительных. После этого ТСПУ начали более внимательно анализировать TLS-соединения, которые используются практически всеми современными сайтами и приложениями.

Проблема в том, что обычный защищённый трафик и трафик некоторых VPN могут выглядеть очень похоже. Из-за этого система иногда принимает легитимные соединения за подозрительные и разрывает их.

По оценке сетевого инженера GlobalNet Михаила Коткина, в мае и начале июня некоторые облачные сервисы столкнулись со снижением трафика примерно на 10%.

Наиболее уязвимыми оказались мобильные приложения, облачные платформы, сервисы обмена данными в реальном времени и проекты, активно использующие CDN и защищённые соединения.

При этом часть участников телеком-рынка считает, что масштабы проблемы могут быть преувеличены, а разные технические сбои ошибочно объединяют под одним объяснением — настройкой ТСПУ.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!