Дослідники безпеки виявили серію кібератак, спрямованих на клієнтів Apple по всьому світу. Інструменти, використані в цих хакерських кампаніях, отримали назви Coruna та DarkSword. Їх використовували як урядові шпигуни, так і кіберзлочинці для викрадення даних з iPhone та iPad.
Рідко можна побачити масштабні атаки, спрямовані на користувачів iPhone та iPad. За останнє десятиліття єдиними прецедентами були атаки на уйгурів-мусульман у Китаї та на людей у Гонконгу.
Тепер деякі з цих потужних хакерських інструментів витекли в інтернет, потенційно ставлячи під загрозу викрадення даних сотні мільйонів iPhone та iPad із застарілим програмним забезпеченням.
Ми розбираємо те, що відомо, а що ні про ці останні загрози зламу iPhone та iPad, а також про те, що ви можете зробити, щоб захистити себе.
Що таке Coruna та DarkSword?
Coruna та DarkSword — це два набори передових хакерських інструментів, кожен з яких містить низку експлойтів, здатних зламувати iPhone та iPad і викрадати дані людини, такі як її повідомлення, дані браузера, історію місцезнаходження та криптовалюту.
Дослідники безпеки, які виявили ці набори інструментів, кажуть, що експлойти Coruna можуть зламувати iPhone та iPad під керуванням iOS 13 до iOS 17.2.1, випущеної в грудні 2023 року.
Однак DarkSword містить експлойти, здатні зламувати iPhone та iPad із новішими пристроями під керуванням iOS 18.4 та 18.7, випущеними у вересні 2025 року, за даними дослідників безпеки з Google, які вивчають код.
Але загроза від DarkSword є більш безпосередньою для широкого загалу.
Хтось випустив частину DarkSword і опублікував її на сайті обміну кодом GitHub, що дозволяє будь-кому завантажити шкідливий код і запустити власні атаки, націлені на користувачів Apple, які використовують старі версії iOS.
Такі атаки за визначенням є невибірковими та небезпечними, оскільки вони можуть вразити будь-кого, хто відвідає певний веб-сайт, на якому розміщено шкідливий код.
У деяких випадках жертви можуть бути зламані, просто відвідавши легітимний веб-сайт, який перебуває під контролем зловмисних хакерів.
Що ці злами роблять?
Коли жертви спочатку заражаються, Coruna та DarkSword використовують кілька вразливостей в iOS, які дозволяють хакерам практично отримати повний контроль над пристроєм цілі, дозволяючи їм викрадати приватні дані людини. Потім дані завантажуються на веб-сервер, яким керують хакери.
Звідки вони взялися?
Принаймні деякі частини набору інструментів Coruna, як раніше повідомляв TechCrunch, були спочатку розроблені Trenchant, підрозділом хакерських технологій та шпигунського ПЗ в американському оборонному підряднику L3Harris, який продає експлойти уряду США та його найближчим союзникам.
Kaspersky також пов’язала два експлойти з набору Coruna з Operation Triangulation — складною і, ймовірно, очолюваною урядом кібератакою, яка, як стверджується, була здійснена проти російських користувачів iPhone.
Після того, як Trenchant розробив Coruna — незрозуміло, як саме — ці експлойти потрапили в руки російських шпигунів і китайських кіберзлочинців, можливо, через одного або кількох посередників, які продають експлойти на підпільному ринку.
Подорож Coruna знову показує, що потужні хакерські інструменти, включаючи ті, що розроблені для США в умовах суворих обмежень секретності, можуть витікати та поширюватися безконтрольно.
Одним із прикладів цього був 2017 рік, коли експлойт, розроблений Агентством національної безпеки США, здатний віддалено зламувати комп’ютери Windows по всьому світу, витік в інтернет. Той самий експлойт потім використовувався в руйнівній атаці програми-вимагача WannaCry, яка невибірково зламала сотні тисяч комп’ютерів по всьому світу.
Що стосується DarkSword, дослідники спостерігали атаки, націлені на користувачів у Китаї, Малайзії, Туреччині, Саудівській Аравії та Україні. Залишається незрозумілим, хто спочатку розробив DarkSword, як він опинився у різних хакерських угруповань або як інструменти витекли в інтернет.
Як ці інструменти потрапили в інтернет?
Незрозуміло, хто випустив і опублікував код на GitHub і з якої причини.
Хакерські інструменти, які TechCrunch бачив, написані веб-мовами HTML та JavaScript, що робить їх відносно легкими для налаштування та самостійного розміщення де завгодно для будь-кого, хто бажає запустити зловмисні атаки. (TechCrunch не надає посилання на GitHub, оскільки інструменти можуть використовуватися у зловмисних атаках.) Дослідники, які публікують пости в X, вже протестували витік інструментів, зламавши власні пристрої Apple, на яких працюють вразливі версії програмного забезпечення компанії.
DarkSword тепер «по суті, працює за принципом „встановив і використовуй“», як пояснив TechCrunch Джастін Олбрехт, головний дослідник фірми мобільної безпеки Lookout.
GitHub повідомив TechCrunch, що не видаляв витік код, але збереже його для досліджень у сфері безпеки.
«Політики прийнятного використання GitHub забороняють публікацію контенту, який безпосередньо підтримує незаконні активні атаки або кампанії зловмисного ПЗ, що завдають технічної шкоди», — сказав TechCrunch Джессі Джерачі, радник GitHub з онлайн-безпеки. «Однак ми не забороняємо публікацію вихідного коду, який може бути використаний для розробки шкідливого ПЗ або експлойтів, оскільки публікація та поширення такого вихідного коду має освітню цінність і приносить значну користь спільноті безпеки».
Що робити, якщо у мене є iPhone або iPad?
Якщо у вас є iPhone або iPad, які не оновлені, вам слід негайно розглянути можливість оновлення.
Apple повідомила TechCrunch, що користувачі, які використовують останні версії iOS 15 та iOS 26, вже захищені.
За даними iVerify: «Ми настійно рекомендуємо оновитися до iOS 18.7.6 або iOS 26.3.1. Це усуне всі вразливості, які були використані в цих ланцюжках атак».
Згідно зі статистикою Apple, майже кожен третій користувач iPhone та iPad все ще не використовує найновіше програмне забезпечення iOS 26. Це означає, що потенційно сотні мільйонів пристроїв є вразливими до цих хакерських інструментів, оскільки Apple налічує понад 2,5 мільярда активних пристроїв по всьому світу.
Apple також заявила, що пристрої з увімкненим Lockdown Mode, додатковою функцією безпеки, яку потрібно активувати вручну і яка вперше з’явилася в iOS 16, також блокують ці конкретні атаки.
Lockdown Mode корисний для журналістів, дисидентів, правозахисників і всіх, хто вважає, що може стати мішенню через те, ким вони є або яку роботу виконують.
Хоча Lockdown Mode не є ідеальним, на сьогодні немає публічних доказів того, що хакерам коли-небудь вдавалося обійти його захист. (Ми запитали Apple, чи залишається це твердження правдивим, і оновимо інформацію, якщо отримаємо відповідь.) Було виявлено, що Lockdown Mode запобіг принаймні одній спробі встановити шпигунське ПЗ на телефон правозахисника.
Залишити відповідь