Кібератака на iPhone українців: чому ризики атаки можуть бути перебільшенням

19 березня у низці медіа з"явилася інформація про масштабну кібератаку на українських користувачів iPhone через зламані українські сайти, зокрема урядовий ресурс із доменом .gov.ua. ЕП звернулася до фахівців із кібербезпеки, щоб зрозуміти, наскільки ця загроза є реальною. Що трапилось Дослідники кіберзагроз із Google, iVerify та Lookout виявили, що група ймовірно російських хакерів (UNC6353) зламала кілька українських сайтів, зокрема щонайменше один державний ресурс у домені .gov.ua, і розмістила на них прихований шкідливий код.
Атака тривала щонайменше з грудня 2025 року до березня 2026-го. Якщо користувач iPhone заходив на заражений сайт, його пристрій міг автоматично інфікуватися через експлойт DarkSword.
За оцінками дослідників, під ризиком перебували пристрої на iOS 18.4–18.6.2 – це близько 270 млн iPhone у світі. Експлойт використовував вразливість iOS, щоб встановити шпигунське ПЗ Ghostblade.
Воно могло збирати широкий спектр даних: паролі від Wi-Fi, SMS, історію дзвінків, геолокацію, браузерну історію, нотатки, календар і навіть медичну інформацію. На відміну від попередніх атак цього угруповання, які були спрямовані на крадіжку криптовалюти, цього разу основною метою було стеження та збір розвідувальної інформації. Чому загроза перебільшена Засновник і CEO компанії з кібербезпеки AmonSul Сергій Харюк вважає, що реальний масштаб загрози значно менший, ніж його подають у медіа.
За його словами, зараженим державним сайтом був, зокрема, ресурс Сьомого апеляційного адміністративного суду у Вінниці, який має дуже низький трафік.
Відповідно кількість потенційно уражених користувачів обмежена. Крім того, вразливість стосувалася версій iOS 18.4–18.6.2, які вийшли ще у березні 2025 року і з того часу неодноразово оновлювалися.
Це означає, що більшість користувачів, які регулярно оновлюють систему, не підпадали під ризик. За словами Харюка, сам експлойт, судячи з усього, вже "спалений", тобто його існування розкрите, і саме тому він потрапив на комерційний ринок: розробники намагаються відбити його вартість, продаючи доступ до нього третім сторонам.
Саме в таких цілях UNC6353 й могли його використати, виходячи з досвіду їх попередньої діяльності. Це також пояснює, чому за атакою стоїть не класичне державне угруповання на кшталт російських ГРУ чи ФСБ, а фінансово мотивовані кіберзлочинці.
Тобто попри гучні заголовки, загроза стосується відносно вузького кола людей: тих, хто відвідував маловідомий сайт суду і при цьому не оновлював iPhone майже рік. Також інший співрозмовник ЕП із сфери кіберзахисту зазначає, що подібні інциденти трапляються регулярно і не варто екстраполювати їх на мільйони українських користувачів.
За його словами, постійні спроби знайти вразливості є однією з причин частих оновлень операційних систем смартфонів. Водночас він наголошує, що окреме питання, як саме шкідливий код потрапив на сайт у державному домені.
Це вже зона відповідальності відповідних органів.