Użytkownicy iPhone’ów w niebezpieczeństwie. DarkSword wykorzystuje luki w iOS 18

Eksperci z Google oraz firm zajmujących się cyberbezpieczeństwem, Lookout i iVerify, opisali nową technikę ataku na iPhone’y. Narzędzie nazwane DarkSword wykorzystuje luki w kilku wydaniach iOS 18 i może stanowić zagrożenie dla dużej grupy użytkowników. Według dostępnych informacji problem może dotyczyć nawet około jednej czwartej aktywnych urządzeń Apple.

DarkSword to tzw. atak bezplikowy. Oznacza to, że nie instaluje klasycznego spyware na urządzeniu, lecz przejmuje kontrolę nad legalnymi procesami systemu iOS. W praktyce wystarczy wejść na odpowiednio spreparowaną stronę internetową, by uruchomić cały łańcuch exploitów. Początek ataku stanowi złośliwy iframe osadzony w witrynie. Po jego aktywacji narzędzie może uzyskać dostęp do wrażliwych danych, takich jak hasła, wiadomości czy zawartość iCloud.

DarkSword to tzw. atak bezplikowy. Oznacza to, że nie instaluje klasycznego spyware na urządzeniu, lecz przejmuje kontrolę nad legalnymi procesami systemu iOS.

Kradzież danych i brak śladów po infekcji

Najbardziej niepokojący jest fakt, że DarkSword po zakończeniu działania usuwa po sobie ślady. To utrudnia wykrycie incydentu i analizę powłamaniową. Według specjalistów narzędzie zostało przygotowane także z myślą o przejmowaniu dostępu do portfeli kryptowalutowych, co sugeruje, że mogło być wykorzystywane w bardziej ukierunkowanych kampaniach.

Ślady prowadzą do wcześniejszego zestawu narzędzi

Według raportu, niezwykle zaawansowany zestaw narzędzi do mobilnego hakowania o nazwie Darksword, pierwotnie został stworzony przez amerykańskiego dostawcę usług obronnych, a następnie skradziony, powielony i aktywnie wykorzystywany przez podmioty sponsorowane przez państwo rosyjskie w celu zbierania danych osobowych od celów na Ukrainie.

Wszystko zaczęło się, gdy Trenchant, wyspecjalizowany oddział hakerski i wywiadu technicznego działający pod skrzydłami amerykańskiego giganta zbrojeniowego i obronnego L3Harris, opracował „Corunę”, potężny pakiet oprogramowania do inwigilacji. Oprogramowanie pierwotnie miało być sprzedawane wyłącznie rządowi USA i jego partnerom wywiadowczym z sojuszu „Five Eyes”, do którego należą Australia, Kanada, Nowa Zelandia i Wielka Brytania. Jednak gdy Peter Williams, były dyrektor zarządzający Trenchant, zdołał wykraść to ściśle tajne narzędzie. Williams sprzedał kod źródłowy tych krytycznych luk w zabezpieczeniach Operation Zero, dużemu rosyjskiemu konkurentowi.

DarkSword był podobno używany nie tylko na Ukrainie, ale i Arabii Saudyjskiej, Malezji, Turcji i Rosji. Pojawiają się również doniesienia o powiązaniach z innym zestawem exploitów o nazwie Coruna. Co istotne, kod źródłowy DarkSword miał trafić do sieci po tym, jak rosyjscy użytkownicy pozostawili go na publicznie dostępnym serwerze wraz z komentarzami technicznymi.

Które wersje iOS są zagrożone?

Atak celuje w urządzenia z systemem iOS 18.4-18.6.2. Apple miało już załatać wykorzystywane luki w nowszych aktualizacjach, wdrożonych w kolejnej generacji systemu po iOS 18. Problem w tym, że wiele urządzeń nadal działa na starszym oprogramowaniu. Szacunki wskazują, że około 24 proc. urządzeń z iOS może wciąż korzystać z wersji z tej gałęzi systemu.

Jeśli więc Wasz iPhone obsługuje nowszą wersję systemu, zaktualizujcie go jak najszybciej. W przypadku takich zagrożeń zwłoka może oznaczać realne ryzyko utraty danych, dostępu do kont czy środków przechowywanych w aplikacjach finansowych.