Дослідники з Google, iVerify та Lookout виявили новий інструмент злому iPhone під назвою DarkSword, який уразив заражені веб-сайти та здатний миттєво і непомітно скомпрометувати пристрої під керуванням iOS 18. Код зловмисного ПЗ опинився у відкритому доступі — разом із коментарями та назвою, що практично запрошує інших хакерів використати його проти необмеженого кола жертв, — про це повідомляє WIRED.
Що таке DarkSword і кого він уражає
DarkSword — це складна техніка злому iPhone, виявлена в інфікованих веб-сайтах: достатньо відвідати такий ресурс, щоб пристрій було скомпрометовано. Інструмент не зачіпає iPhone з найновішими оновленнями iOS, однак ефективно працює проти пристроїв на iOS 18 — попередній основній версії операційної системи Apple. За даними самої компанії, станом на минулий місяць майже чверть усіх iPhone у світі ще працювала на iOS 18.
«Колосальна кількість користувачів iOS могла позбутися всіх своїх персональних даних просто через відвідування популярного сайту», — заявив Роккі Коул, співзасновник і генеральний директор iVerify. «Сотні мільйонів людей, які досі використовують старіші пристрої Apple або старіші версії операційної системи, залишаються вразливими».
DarkSword містить два окремі ланцюжки експлойтів, орієнтовані на різні вразливості в залежності від того, яка саме версія iOS 18 встановлена на цільовому пристрої. Для порівняння: раніше виявлений набір Coruna атакував iOS 13–17, тоді як DarkSword охоплює iOS 18 — тобто потенційне коло жертв є значно ширшим.
Що краде шкідливе ПЗ та як воно діє
За даними Lookout, DarkSword здатне викрадати паролі та фотографії, журнали переписки з iMessage, WhatsApp і Telegram, історію браузера, дані Календаря та Нотатки, а також інформацію з програми Apple Health. Крім того, шкідливе ПЗ зчитує облікові дані криптовалютних гаманців — що натякає на можливий паралельний фінансовий мотив поряд зі шпигунською місією.
На відміну від традиційного шпигунського ПЗ, DarkSword не закріплюється в системі. Інструмент використовує так звані «безфайлові» методи — підходи, більш характерні для атак на Windows-пристрої. Замість встановлення окремого шкідливого застосунку він перехоплює легітимні системні процеси iPhone. «Замість того щоб грубою силою проламувати файлову систему — що залишає безліч слідів, — цей інструмент просто використовує системні процеси так, як вони й мали використовуватися», — пояснив Коул. «І залишає значно менше артефактів».
Відсутність персистентності має й практичний наслідок: після перезавантаження пристрою інфекція зникає. Натомість DarkSword діє за принципом «вдарив і втік» — викрадає дані протягом кількох хвилин після проникнення в систему.
Зв’язок з російськими кібершпигунами та атаками на українські сайти
Виявлення DarkSword відбулося всього за два тижні після того, як стало відомо про інший набір інструментів злому — Coruna, який Google пов’язує з угрупованням, що фінансується російською державою. Хоча DarkSword, очевидно, розроблений іншими авторами, ті самі російські хакери використовували обидва інструменти. Як і Coruna, DarkSword було вбудовано в компоненти легітимних українських веб-сайтів — зокрема онлайн-видань та сайту державної установи — для збору даних із пристроїв відвідувачів.
Особливу стурбованість дослідників викликало те, що хакери залишили повний, нічим не захищений код DarkSword у відкритому доступі — разом із пояснювальними коментарями англійською мовою та самою назвою «DarkSword». «Будь-хто, хто вручну зібрав усі різні частини експлойта, може розмістити їх на власному веб-сервері та почати інфікувати телефони. Усе так само задокументовано. Це справді занадто просто», — заявив співзасновник iVerify Маттіас Фрілінгсдорф.
Хто стоїть за DarkSword і звідки він узявся
Автори DarkSword залишаються невідомими, однак дослідники впевнені: інструмент майже напевно створено не самими хакерами, що його застосували. Ймовірніше за все, його придбала брокерська компанія, що торгує хакерськими техніками. Показовою підказкою є зв’язок DarkSword із набором Coruna: видання TechCrunch повідомляло, що Coruna створено компанією Trenchant — дочірньою структурою американського державного підрядника L3Harris. Колишній співробітник Trenchant Пітер Вільямс минулого року визнав провину у продажі інструментів компанії російській брокерській фірмі Operation Zero, яку згодом внесли до санкційних списків США.
Хоча прямих доказів того, що DarkSword також пов’язаний із Trenchant або розроблявся для американського уряду, немає, його використання тими самими російськими хакерами, які предовірно придбали Coruna, вказує на можливий спільний канал збуту. Пізніше Coruna використали і кіберзлочинці — для крадіжки криптовалюти у жертв, що спілкуються китайською мовою, — що свідчить про готовність Operation Zero перепродавати свої продукти будь-якому покупцю.
Ринок хакерських інструментів: нова реальність загроз
Поява двох потужних інструментів злому iPhone майже одночасно сигналізує про зростання чорного ринку повторного продажу експлойтів, які раніше вважалися надзвичайно рідкісними. «Люди вважали, що це стосується лише журналістів, активістів або опозиційних політиків — і не загрожує звичайному громадянину. Тепер, коли iOS-експлойти розповсюджуються через безвідповідального брокера, весь цей ринок відкритий для кіберзлочинців», — зазначив Джастін Альбрехт, керівник напряму мобільної розвідки загроз у Lookout.
Роккі Коул з iVerify вказує на ще один тривожний сигнал: хакери використовували DarkSword відкрито, не намагаючись приховати інструмент на заражених сайтах. «Якщо цей згорить — просто піду й візьму інший. Вони знають, що є ще», — так Коул описує логіку зловмисників. Це свідчить про те, що інструменти злому iOS стали настільки доступними, що хакери готові витрачати їх безоглядно — навіть якщо це призведе до їхнього викриття.
Як захиститися
Найнадійніший захист — оновлення операційної системи до останньої версії iOS. Для цього перейдіть у «Налаштування» → «Основні» → «Оновлення ПЗ». DarkSword не зачіпає пристрої з актуальною версією iOS.
Додатки iVerify та Lookout здатні виявляти компрометацію пристрою через DarkSword у тій формі, в якій його було зафіксовано дослідниками. Apple та Google не надали коментарів щодо знахідки дослідників, окрім публікації у блозі Google.
