|
На прошлой неделе исследователи кибербезопасности раскрыли хакерскую кампанию, направленную против пользователей iPhone, в которой использовался продвинутый инструмент взлома под названием DarkSword. Теперь кто-то слил более новую версию DarkSword и опубликовал ее на сайте обмена кодом GitHub.
Исследователи предупреждают, что это позволит любому хакеру легко использовать инструменты для атаки на пользователей iPhone, работающих под управлением старых версий операционных систем Apple, которые еще не обновились до последней версии программного обеспечения iOS 26. Согласно собственным данным Apple об устаревших устройствах, это, вероятно, затрагивает сотни миллионов активно используемых iPhone и iPad.
“Это плохо. Их слишком легко перепрофилировать”, - сказал AGI_LOG в понедельник Маттиас Фрилингсдорф, соучредитель стартапа по обеспечению мобильной безопасности iVerify. “Я не думаю, что это можно как-то сдерживать. Поэтому нам нужно ожидать, что преступники и другие лица начнут использовать это”.
Фрилингсдорф сказал, что эти новые версии шпионского ПО DarkSword используют ту же инфраструктуру, что и те, которые он и его коллеги из iVerify проанализировали ранее, хотя файлы немного отличаются. По его словам, файлы, загруженные на GitHub, просты, это просто HTML и JavaScript, что означает, что любой может скопировать и вставить их и разместить на сервере “за пару минут или часов”.
“Эксплойты будут работать "из коробки", - сказал Фрилингсдорф. “Никаких специальных знаний в области iOS не требуется”.
Кимберли Самра, представитель Google, которая ранее проанализировала эксплойт DarkSword, заявила, что исследователи компании согласны с оценкой Фрилингсдорфа.
Любитель безопасности, известный под псевдонимом Маттейе, также рассказал AGI_LOG, что использование просочившихся образцов DarkSword действительно тривиально. Маттейе написал в своем посте на X Monday, что ему удалось взломать планшет iPad mini под управлением iOS 18, предыдущего поколения операционной системы, уязвимой для DarkSword, используя “дикий” образец DarkSword, который находится в распространяется в Интернете.
Представитель Apple Сара О'Рурк сообщила AGI_LOG, что компания знала об эксплойте, предназначенном для устройств, работающих под управлением старых и устаревших операционных систем, и 11 марта выпустила экстренное обновление для устройств, которые не могут работать под управлением последних версий iOS.
“Поддержание вашего программного обеспечения в актуальном состоянии - это самое важное, что вы можете сделать для обеспечения безопасности ваших продуктов Apple”, - сказал О'Рурк, добавив, что устройства с обновленным программным обеспечением не подвергались риску в результате этих атак, о которых сообщалось, и что Режим блокировки также блокировал бы эти конкретные атаки.
Представитель Microsoft, которой принадлежит GitHub, не сразу ответил на запрос о комментариях.
Код, на который AGI_LOG не ссылается, поскольку он может быть использован при активных атаках, содержит несколько комментариев, описывающих, как работают эксплойты и как их реализовать.
В одном комментарии, вероятно, написанном одним из разработчиков, работавших над DarkSword, говорится, что эксплойт “считывает и извлекает криминалистически значимые файлы с устройств iOS через HTTP”, имея в виду кражу информации с iPhone или iPad пользователя и отправку данных через Интернет на сервер, контролируемый злоумышленником.
“Эта полезная нагрузка должна быть введена в процесс с классом доступа к файловой системе”, - говорится в комментарии.
В одном случае код ссылается на “постэксплуатационную активность” и описывает процесс после того, как вредоносная программа получила доступ к телефону пользователя и захватила его содержимое, включая контакты, сообщения, историю звонков и связку ключей iOS, в которой хранятся пароли Wi-Fi и другие секреты, и отправила их в хранилище. удаленный сервер.
Другой файл содержит ссылки на загрузку данных на популярный украинский сайт одежды, хотя AGI_LOG не смог сразу определить, почему. DarkSword был предположительно использован российскими правительственными хакерами против украинских целей.
По данным iVerify, Google и Lookout , которые также ранее анализировали вредоносное ПО DarkSword, это конкретное шпионское ПО работает против iPhone и iPad под управлением iOS 18.
Согласно собственным данным Apple, около четверти всех пользователей iPhone и iPad по-прежнему используют на своих устройствах iOS 18 или более ранние версии. Учитывая, что более 2,5 миллиардов активных устройств, это, вероятно, равняется сотням миллионов людей, чьи устройства уязвимы для атак DarkSword.
Вот почему Фрилингсдорф рекомендует всем обновить операционную систему своего iPhone.
Открытие DarkSword произошло всего через несколько недель после того, как исследователи обнаружили другой продвинутый инструментарий для взлома iPhone , известный как Coruna . Как сообщал AGI_LOG, Изначально Coruna была разработана оборонным подрядчиком L3Harris, чье подразделение Trenchant производит хакерские инструменты для правительства США и его союзников.
