|
Исследователи в области безопасности раскрыли серию кибератак, направленных против клиентов Apple по всему миру. Инструменты, использовавшиеся в этих хакерских кампаниях, получили название Coruna и DarkSword, и они использовались как правительственными шпионами, так и киберпреступниками для кражи данных с iPhone людей и айпады.
Редко можно встретить широко распространенные взломы, нацеленные на пользователей iPhone и iPad. За последнее десятилетие единственными прецедентами были нападения на мусульман-уйгуров в Китае и на людей в Гонконге .
Теперь некоторые из этих мощных хакерских инструментов просочились в Сеть, что потенциально подвергает риску кражи данных сотни миллионов iPhone и iPad с устаревшим программным обеспечением.
Мы рассказываем, что мы знаем и чего не знаем об этих новейших угрозах взлома iPhone и iPad, и что вы можете сделать, чтобы обезопасить себя.
Coruna и DarkSword - это два набора продвинутых хакерских инструментов, каждый из которых содержит ряд эксплойтов, способных взламывать iPhone и iPad и красть данные пользователя, такие как его сообщения, данные браузера, историю местоположений и криптовалюту.
Исследователи безопасности, обнаружившие наборы инструментов, утверждают, что эксплойты Coruna могут взламывать iPhone и iPad под управлением iOS 13 и iOS 17.2.1, которые были выпущены в декабре 2023 года.
Однако, по словам исследователей безопасности из Google, которые изучают код, DarkSword содержит эксплойты, способные взламывать iPhone и iPad с более поздних устройств под управлением iOS 18.4 и 18.7, выпущенных в сентябре 2025 года.
Но угроза, исходящая от Темного меча, более очевидна для широкой публики. Кто-то слил часть DarkSword и опубликовал ее на сайте обмена кодом GitHub, что позволило любому пользователю легко загрузить вредоносный код и начать собственные атаки, нацеленные на пользователей Apple, работающих под управлением старых версий iOS.
Эти типы атак по определению являются неизбирательными и опасными, поскольку они могут заманить в ловушку любого, кто посетит определенный веб-сайт, на котором размещен вредоносный код.
В некоторых случаях жертвы могут быть взломаны, просто посетив легальный веб-сайт, находящийся под контролем злоумышленников.
При первоначальном заражении жертвы Coruna и DarkSword используют несколько уязвимостей в iOS, которые позволяют хакерам практически полностью контролировать устройство жертвы, что позволяет им красть личные данные пользователя. Затем данные загружаются на веб-сервер, управляемый хакерами.
По крайней мере, некоторые части инструментария Coruna, как ранее сообщал AGI_LOG, изначально были разработаны Trenchant, подразделением по взлому и разработке шпионских программ в рамках оборонного подрядчика США L3Harris, который продает эксплойты правительству США и его главным союзникам.
Kaspersky также связал два эксплойта в наборе инструментов Coruna с Операцией Triangulation, сложной и, вероятно, возглавляемой правительством кибератакой, предположительно проведенной против российских пользователей iPhone .
После того, как Trenchant разработала Coruna — каким—то образом, непонятно каким образом, - эти эксплойты попали в руки российских шпионов и китайских киберпреступников, возможно, через одного или нескольких посредников, которые продают эксплойты на подпольном рынке.
Путешествия Коруньи еще раз показывают, что мощные хакерские инструменты, в том числе разработанные для США в условиях строгой секретности, могут просачиваться и бесконтрольно распространяться.
Одним из примеров этого стала утечка в Сеть в 2017 году эксплойта, разработанного Агентством национальной безопасности США, который был способен удаленно взламывать компьютеры Windows по всему миру. Затем этот же эксплойт был использован в разрушительной атаке программы-вымогателя WannaCry , которая без разбора взломала сотни тысяч компьютеров по всему миру.
В случае с DarkSword исследователи наблюдали атаки, нацеленные на пользователей в Китае, Малайзии, Турции, Саудовской Аравии и Украине. Остается неясным, кто изначально разрабатывал DarkSword, как он попал к различным хакерским группам или как инструменты просочились в Сеть.
Неясно, кто слил их и опубликовал онлайн на GitHub, и по какой причине.
Хакерские инструменты, с которыми ознакомился AGI_LOG, написаны на веб-языках HTML и JavaScript, что делает их относительно простыми в настройке и самостоятельном размещении в любом месте любым человеком, желающим провести вредоносную атаку. (AGI_LOG не ссылается на GitHub, поскольку эти инструменты могут быть использованы для вредоносных атак.) Исследователи , опубликовавшие публикацию на X, уже протестировали просочившиеся инструменты, взломав собственные устройства Apple, на которых установлены уязвимые версии программного обеспечения компании.
Как пояснил AGI_LOG Джастин Альбрехт (Justin Albrecht), главный исследователь компании по мобильной безопасности Lookout, DarkSword теперь “по сути, подключаем и играем”.
GitHub сообщил AGI_LOG, что не удалил утечку кода, но сохранит его для исследований в области безопасности.
“Политика допустимого использования GitHub запрещает публикацию контента, который напрямую поддерживает незаконные активные атаки или вредоносные кампании, наносящие технический ущерб”, - сказал AGI_LOG консультант по онлайн-безопасности GitHub Джесси Джерачи. “Однако мы не запрещаем публикацию исходного кода, который может быть использован для разработки вредоносных программ или эксплойтов, поскольку публикация и распространение такого исходного кода имеет образовательное значение и приносит чистую пользу сообществу безопасности”.
Если у вас устаревший iPhone или iPad, вам следует немедленно рассмотреть возможность обновления.
Apple сообщила AGI_LOG, что пользователи, работающие под управлением последних версий iOS с 15 по 26, уже защищены.
Согласно iVerify: “Мы настоятельно рекомендуем обновить систему до iOS 18.7.6 или iOS 26.3.1. Это позволит устранить все уязвимости, которые были использованы в этих цепочках атак”.
Согласно собственной статистике Apple, почти каждый третий пользователь iPhone и iPad по-прежнему не использует новейшее программное обеспечение iOS 26. Это означает, что потенциально сотни миллионов устройств уязвимы для этих хакерских инструментов, поскольку Apple рекламирует более 2,5 миллиардов активных устройств по всему миру.
Apple также сообщила, что устройства, работающие в режиме блокировки, - дополнительной функции безопасности, впервые представленной в iOS 16, также блокируют эти специфические атаки.
Режим карантина полезен журналистам, диссидентам, правозащитникам и всем, кто считает, что они могут стать мишенью за то, кто они есть, или за ту работу, которую они выполняют.
Хотя режим блокировки не идеален , до настоящего времени не было никаких публичных доказательств того, что хакерам когда-либо удавалось обойти его защиту. Apple сообщила AGI_LOG, что ей еще предстоит увидеть ни одного случая успешной шпионской атаки на любого пользователя, использующего режим блокировки, на любом устройстве Apple. Было установлено, что режим карантина предотвратил по крайней мере одну попытку установки шпионского ПО на телефон правозащитника.
Обновлено, чтобы включить новое заявление Apple об атаках на пользователей с включенным режимом блокировки.
