2023年到2025年,中东和北非的记者、活动家、政府官员陆续发现自己的iPhone备份被人翻了个底朝天。调查者后来发现,攻击者用的不是零日漏洞,不是供应链攻击,是钓鱼——那种你奶奶都可能识破的钓鱼。
Access Now、Lookout和SMEX三家安全公司联合发布的报告显示,这场持续数年的"雇佣黑客"行动覆盖了英国、美国及美国高校校友。攻击目标横跨平民与官员,手段却简单到让人困惑:造一堆假网站,骗你输入Apple ID。
1500个假网站,专钓苹果用户
Lookout的报告里列出了一个数字:近1500个恶意网址。这些地址被精心设计成苹果、谷歌、微软、Signal、WhatsApp、雅虎等服务的仿冒页面,托管钓鱼网站和其他攻击基础设施。
针对苹果用户的攻击链路尤其直接。黑客发送钓鱼链接,诱导目标在假登录页输入Apple ID和密码,随后直接入侵iCloud备份。一旦得手,攻击者就能完整访问目标iPhone的全部内容——照片、信息、通讯录、应用数据,全部打包带走。
这与近期引发关注的Coruna和DarkSword攻击形成鲜明对比。后者通过复杂漏洞链攻击过时设备,技术含量极高;而这场"雇佣黑客"行动走的完全是另一条路:不拼技术拼规模,不挖漏洞挖人性。
Lookout将攻击归因于BITTER APT组织,称其为"印度雇佣黑客初创公司Appin的分支"。该组织活跃多年,以承接各国政府外包的网络攻击任务著称。
"外包黑客"正在成为新生意
TechCrunch在报道中点出一个趋势:政府机构越来越倾向于将黑客行动外包给私人公司。这种模式的吸引力在于双重便利。
「这些组织及其客户获得的是合理的推诿——因为所有操作和基础设施都由他们运行。」Lookout首席研究员Justin Albrecht表示。对客户而言,雇佣这类团队可能比购买商业间谍软件更便宜。
商业间谍软件市场近年监管收紧,价格攀升,且容易留下可追溯的技术指纹。相比之下,钓鱼攻击成本低、 attribution 困难、法律风险小。一个政府想要监控记者,不再需要自建技术团队或采购Pegasus级别的工具,只需找到Appin这样的中间商,按人头付费。
这种模式正在重塑网络攻击的供应链。技术门槛被外包消解,攻击者不再需要顶级漏洞研究员,只需要会说目标语言、懂本地文化、能批量注册域名的运营人员。
苹果的双面困境
iCloud备份的安全设计在此类攻击中暴露出结构性矛盾。苹果为用户提供了端到端加密的iCloud备份选项,但默认并未开启。大多数用户的备份仍以标准加密形式存储,苹果持有密钥,也意味着攻击者一旦获取账户凭证,就能从服务器端完整提取数据。
苹果近年多次因执法压力在加密政策上摇摆。2016年圣贝纳迪诺枪击案后,FBI要求苹果解锁iPhone,苹果公开拒绝;但iCloud备份的加密强度始终低于设备本地数据。这种设计方便了合法执法取证,也方便了凭证窃取后的数据收割。
攻击者显然研究过这个平衡点。他们没有尝试破解设备,没有寻找iOS漏洞,而是直接绕过最复杂的环节,攻击用户习惯和云服务架构。1500个假网站中,苹果相关页面只是子集,但iCloud备份的"全量访问"特性使其成为高价值目标。
报告提及的攻击时间跨度从2023年延续至2025年,意味着部分目标可能长期未察觉入侵。iCloud备份的静默同步特性让数据窃取更难被发现——没有异常弹窗,没有设备发热,只有云端数据在攻击者控制下持续更新。
当"低级"攻击成为高级威胁
安全行业长期存在一种偏见:钓鱼是"低级"攻击,零日漏洞才是"高级"威胁。但这场行动的数据说明,规模化和持续性足以弥补技术简陋。
1500个域名意味着自动化注册、批量部署、快速轮换的能力。攻击者可以针对特定地区、特定人群定制钓鱼页面——阿拉伯语的苹果登录页、模仿本地运营商的短信模板、契合时事的诱饵内容。这种运营精度让"低级"技术产生"高级"效果。
对目标人群而言,威胁模型已经改变。记者和异见人士过去只需担心Pegasus级别的定向攻击,现在需要警惕的是日常收到的每一条验证码请求、每一个账户登录提醒。攻击成本的下降意味着监控范围的扩大,从中东记者到美国高校校友,地理和身份的边界都在模糊。
三家安全机构的联合调查本身也值得关注。Access Now聚焦数字权利,Lookout专注移动安全,SMEX深耕中东网络政策,这种跨领域协作反映了威胁的复杂性——它同时是技术问题、人权问题和地缘政治问题。
报告发布后,苹果尚未公开回应是否会对iCloud备份的默认加密策略做出调整。Google、微软等其他被仿冒服务商同样保持沉默。对于依赖这些云服务的用户,现状是:你的备份安全程度,取决于你是否手动开启了一个隐藏较深的设置选项,以及你是否能识别出第1501个假网站。
Justin Albrecht在报告结尾处的判断值得玩味:雇佣黑客模式让客户获得了"合理的推诿",但这种推诿的代价是什么?当政府将监控外包,责任链条断裂,受害者甚至难以确定该向谁追责——是执行攻击的印度公司,是下单的中东政府,还是提供基础设施的美国云服务商?
下一个被1500个假网站围攻的,会是谁的云服务?
热门跟贴