Минулого тижня дослідники з кібербезпеки виявили хакерську кампанію, спрямовану проти користувачів iPhone, яка використовувала передовий хакерський інструмент під назвою DarkSword. Тепер хтось злив новішу версію DarkSword і опублікував її на сайті обміну кодом GitHub.
Дослідники попереджають, що це дозволить будь-якому хакеру легко використовувати інструменти для атаки на користувачів iPhone, які використовують старі версії операційних систем Apple і ще не оновилися до останнього програмного забезпечення iOS 26. Це, ймовірно, впливає на сотні мільйонів активно використовуваних iPhone та iPad, згідно з власними даними Apple про застарілі пристрої.
«Це погано. Їх надто легко пристосувати для інших цілей», — сказав TechCrunch у понеділок Маттіас Фрілінгсдорф, співзасновник стартапу з мобільної безпеки iVerify. «Я не думаю, що це ще можна стримати. Тож ми повинні очікувати, що злочинці та інші почнуть це розгортати».
Фрілінгсдорф зазначив, що ці нові версії шпигунського ПЗ DarkSword використовують ту саму інфраструктуру, що й ті, які він та його колеги з iVerify аналізували раніше, хоча файли дещо відрізняються. Він сказав, що файли, завантажені на GitHub, є нескладними, просто HTML та JavaScript, тобто будь-хто може скопіювати та вставити їх і розмістити на сервері «за кілька хвилин або годин».
«Експлойти працюватимуть одразу з коробки», — сказав Фрілінгсдорф. «Не потрібно жодних знань про iOS».
Кімберлі Самра, речниця Google, яка раніше аналізувала експлойт DarkSword, заявила, що дослідники компанії погоджуються з оцінкою Фрілінгсдорфа.
Ентузіаст безпеки, відомий під псевдонімом matteyeux, також повідомив TechCrunch, що використовувати зразки злитого DarkSword дійсно дуже просто. У понеділок matteyeux написав у дописі на X, що йому вдалося зламати планшет iPad mini під керуванням iOS 18, попереднього покоління операційної системи, яке вразливе до DarkSword, використовуючи зразок DarkSword «in the wild», який циркулює в Інтернеті.
Сара О’Рурк, речниця Apple, повідомила TechCrunch, що компанія знає про експлойт, спрямований на пристрої, які працюють на старіших та застарілих операційних системах, і випустила екстрене оновлення 11 березня для пристроїв, які не можуть працювати на останніх версіях iOS.
«Підтримка вашого програмного забезпечення в актуальному стані — це найважливіше, що ви можете зробити для підтримки безпеки ваших продуктів Apple», — сказала О’Рурк, додавши, що пристрої з оновленим програмним забезпеченням не піддаються ризику від цих зареєстрованих атак, а режим Lockdown Mode також блокуватиме ці конкретні атаки.
Речник Microsoft, якій належить GitHub, негайно не відповів на запит про коментар.
Код, посилання на який TechCrunch не публікує, оскільки він може бути використаний в активних атаках, містить кілька коментарів, які описують, як працюють експлойти та як їх реалізувати.
Один коментар, ймовірно, написаний одним із розробників, які працювали над DarkSword, каже, що експлойт «читає та викрадає криміналістично релевантні файли з пристроїв iOS через HTTP», що означає викрадення інформації з iPhone або iPad людини та надсилання даних через Інтернет на сервер, контрольований зловмисником.
«Це корисне навантаження слід впровадити в процес із класом доступу до файлової системи», — йдеться в коментарі.
В одному випадку код посилається на «післяексплуатаційну активність» та описує процес після того, як зловмисне ПЗ отримало доступ до телефону людини та захоплює його вміст, включаючи контакти, повідомлення, історію дзвінків та зв’язку ключів iOS, яка зберігає паролі Wi-Fi та інші секрети, і скидає їх на віддалений сервер.
Інший файл містить посилання на завантаження даних на популярний український веб-сайт з одягу, хоча TechCrunch не зміг одразу визначити чому. За припущеннями, DarkSword використовувався російськими урядовими хакерами проти українських цілей.
Це конкретне шпигунське ПЗ працює саме проти iPhone та iPad під керуванням iOS 18, згідно з даними iVerify, Google та Lookout, які також раніше аналізували зловмисне ПЗ DarkSword.
Згідно з власними даними Apple, близько чверті всіх користувачів iPhone та iPad все ще використовують iOS 18 або більш ранню версію на своїх пристроях. Враховуючи понад 2,5 мільярда активних пристроїв, це, ймовірно, означає сотні мільйонів людей, чиї пристрої вразливі до атак DarkSword.
Саме тому Фрілінгсдорф рекомендує всім оновити операційну систему свого iPhone.
Виявлення DarkSword відбулося лише через кілька тижнів після того, як дослідники виявили інший передовий набір інструментів для злому iPhone, відомий як Coruna. Як повідомляв TechCrunch, Coruna була спочатку розроблена оборонним підрядником L3Harris, підрозділ якого Trenchant створює інструменти для злому для уряду США та його союзників.
Залишити відповідь