Ievainojamība, kas pazīstama kā DarkSword Tas ir kļuvis par vienu no nopietnākajiem drošības incidentiem, kas nesen skāris iPhone tālruņus. Google, iVerify un Lookout pētnieki ir dokumentējuši, kā šis kopums... nulles klikšķu izmantošanas Tas ļauj pārņemt kontroli pār ierīcēm ar iOS 18, vienkārši ielādējot inficētu tīmekļa lapu, personai nekam nenospiežot vai neatverot aizdomīgas saites.
Šis gadījums ir iedarbinājis trauksmes zvanus Eiropas kiberdrošības kopienā, jo simtiem miljonu iPhone tālruņu Visā pasaulē joprojām darbojas ievainojamas iOS 18 versijas. Lai gan Apple jau ir izlaidis labojumus un ārkārtas ielāpus, jaunāko versiju ieviešana notiek lēnāk nekā gaidīts, daļēji šaubu dēļ par to, kā... pārvaldīt vietu, kas uztur a ievērojama uzbrukuma virsma gan Eiropā, gan citos tirgos.
Kas īsti ir DarkSword un kāpēc tas rada tik lielas bažas?
DarkSword nav vienkārša izolēta kļūda, bet gan pilnīgs uzbrukuma komplekts operētājsistēmai iOS Izstrādāts, lai bez lietotāja mijiedarbības apdraudētu iPhone tālruņus. Tehniskā analīze liecina, ka rīku ķēdes ir saistītas ar... sešas nulles dienas ievainojamības lai pārietu no Safari pārlūkprogrammas uz pašu operētājsistēmas kodolu, iegūstot pietiekamas privilēģijas, lai piekļūtu praktiski visai informācijai ierīcē.
Sākotnējā kampaņa tika atklāta Desmitiem likumīgu Ukrainas vietņu kas bija manipulēts. Vienkārši piekļūstot vienai no šīm lapām no inficēta iPhone, pietika, lai fonā aktivizētu uzbrukuma ķēdi. No turienes DarkSword varēja lasīt iMessage, WhatsApp un Telegram ziņojumus, pārskatīt pārlūkošanas vēsturi, skatīt piezīmes, kalendāra notikumus vai pat piekļūt ierakstiem no Apple Health lietotnes.
Viens no elementiem, kas visvairāk satrauc pētniekus, ir tas, ka uzbrukums ir veikts plašā mērogā un ne tikai pret augsta līmeņa mērķiem. Saskaņā ar iVerify un Lookout apkopotajiem datiem, no 220 līdz 270 miljoniem iPhone tālruņu Viņi turpina izmantot neaizsargātas iOS 18 versijas, kas praksē veido aptuveni 14–25% no aktīvā iPhone tālruņu parka.
Turklāt DarkSword balstās uz pēcekspluatācijas moduļu arhitektūru, ko analītiķi dēvē ar tādiem kodētiem nosaukumiem kā SPOĶU ASMENS, SPOĶU NAZIS vai SPOĶU ZOBENS— kuri ir atbildīgi par zagtas informācijas savākšanu un iesaiņošanu ļoti īsā laikā, kas ir īpaši pievilcīgi spiegošanas kampaņām, un kriptovalūtas zādzība.
Kā darbojas uzbrukums: no Safari līdz iOS kodolam
DarkSword darbojas, izmantojot virkni drošības ievainojamību, kas ir savstarpēji saistītas. Galvenais ieejas punkts ir Safari pārlūks vai jebkuru komponentu, kas atveido tīmekļa saturu. Kad tiek ielādēta apdraudēta lapa, tiek izpildīts kods, kas īpaši izstrādāts, lai izmantotu JavaScript dzinēja un citu pārlūkprogrammas komponentu ievainojamības.
Kad pirmā fāze ir veiksmīga, ievainojamības izmantošanas veids virzās uz dziļākiem sistēmas slāņiem, izmantojot papildu ievainojamības, līdz tiek sasniegts koda izpilde ar paaugstinātām privilēģijāmAr šādu piekļuves līmeni uzbrucējs var lasīt iekšējās datubāzes, iegūt paroļu atslēgu ķēdes, pārskatīt sarunas un apskatīt failus, kas parasti ir aizsargāti pat no lietotāja paša lietotnēm.
Šī pieeja ir šāda veida bezfailuCitiem vārdiem sakot, DarkSword izvairās no redzamu lietojumprogrammu vai pastāvīgu failu instalēšanas. Tā vietā tas pārtver operētājsistēmas procesus, izpilda ļaunprātīgas komandas no atmiņas un dažu minūšu laikā izdzēš visas pēdas. Šī "uzbrūkšanas" uzvedība padara atklāšanu ārkārtīgi sarežģītu pat specializētiem risinājumiem, jo pēc tālruņa restartēšanas gandrīz nav skaidru ielaušanās pazīmju.
Šī darbības metode atgādina klasiskās metodes, ko izmanto progresīvos datoruzbrukumos, taču ir pielāgota Apple ekosistēmai. Faktiski pētnieki uzsver, ka Netika novērotas ierastās rezidentu spiegprogrammatūru pazīmes.Tas būtiski maina spēles noteikumus tiem, kas pieraduši meklēt aizdomīgas lietotnes savā ierīcē.
Ietekmētās iOS versijas un globālā sasniedzamība
Pirmie DarkSword viļņi galvenokārt bija vērsti uz iPhone tālruņi ar iOS 18Google, Lookout un iVerify ziņojumi konsekventi norāda uz versijām starp iOS 18.4 un iOS 18.6.2 kā visvairāk apdraudētā no atklātajām kampaņām. Dažās analīzēs ir minēts arī daļējs labojums iOS 18.7.2 versijā, savukārt citās ievainojamības pilnīga slēgšana ir saistīta ar iOS 26 un jaunākām versijām.
Jebkurā gadījumā datu radītais attēls ir skaidrs: Ļoti liels skaits ierīču joprojām darbojas ar iOS 18Tas ir vai nu tāpēc, ka to īpašnieki nav atjauninājuši ierīces uz jaunākajām versijām, vai arī tāpēc, ka viņi vēlas izvairīties no saskarnes izmaiņām. Šī situācija ietekmē ne tikai lietotājus konfliktu zonās, bet arī miljoniem cilvēku Eiropas Savienībā un Spānijā, kuri ikdienā izmanto savus iPhone tālruņus banku operācijām, digitālajai identifikācijai vai elektroniskajiem parakstiem.
Pētnieki ir dokumentējuši DarkSword lietošanu vismaz kopš 2025. gada beigasLai gan sākotnējais atklājums notika Ukrainas domēnos, drīz vien tika atklātas kampaņas pret mērķiem [nav norādīts]. Saūda Arābija, Turkiye un MalaizijaVairākos no šiem gadījumiem uzbrukums bija iestrādāts likumīgās tīmekļa vietnēs, piemēram, ziņu portālos vai administratīvajās vietnēs, izmantojot to labo reputāciju, lai paliktu nepamanīts.
Eiropā risks ir netiešāks, bet ne mazāk nozīmīgs: jebkurš lietotājs, kurš apmeklē ārpus Eiropas mitinātas apdraudētas lapas vai pieslēdzas, izmantojot starptautiskus tīklus, var lejupielādēt ļaunprātīgo kodu. Turklāt fakts, ka DarkSword ir atkārtoti lietojams komplekts, palielina iespējamību, ka tas galu galā tiks integrēts [neskaidrs/neskaidrs]. plašākas kibernoziegumu kampaņas, tostarp tās, kuru mērķis ir zagt tiešsaistes bankas kontus un kriptovalūtas makus, ko izmanto Eiropas pilsoņi.
Kas stāv aiz DarkSword un kādas ir viņu attiecības ar Coruna?
Svarīgs elements DarkSword ietekmes izpratnē ir tā konteksts. Šī mēneša sākumā tā pati Google un iVerify komanda publiskoja vēl vienu augsta līmeņa uzbrukuma komplektu, kas pazīstams kā Corunaspēj apdraudēt iPhone tālruņus no iOS 13 līdz iOS 17.2.1, izmantojot 23 ķēdes ievainojamības. Abas ekspluatācijas pakotnes parādījās uz tās pašas servera infrastruktūrasTas norāda uz kopīgu avotu vai vismaz uz sadarbību starp vairākiem dalībniekiem.
Tiek uzskatīts, ka daļa no šī arsenāla ir radusies valdības līmeņa ekspluatācijas tirgū. Iepriekšējās izmeklēšanās ir minēts bijušā Trenchant nodaļas locekļa gadījums, kas piederēja aizsardzības darbuzņēmējam L3Harris un atzinās, ka ir... pārdeva virkni ievainojamību Krievijas starpniekam pazīstama kā operācija “Zero”. No turienes ekspluatācijas ķēdes būtu nonākušas no valsts rokām mazāk skrupulozu noziedzīgu grupējumu rokās.
DarkSword gadījumā Google apgalvo, ka ir novērojis tā lietošanu komerciālās uzraudzības pakalpojumu sniedzēji un iespējamie hakeri, kas saistīti ar valsts izlūkdienestiem. Vienā no kampaņām ir iesaistīts Turcijas komerciālās novērošanas uzņēmums PARS Defense, kas veic uzbrukumus Turcijā un Malaizijā.
Ir arī saites uz Krieviju. Daļa koda tika ieviesta apdraudētas Ukrainas vietnesUn pētnieki runā par operatoriem, kas saistīti ar Krievijas interesēm, kuri it kā atkārtoti izmantoja šo ievainojamību, lai apvienotu politisko spiegošanu un finansiālu labumu. Visspilgtākā detaļa ir tā, ka DarkSword kods parādījās dažos serveros. bez pārklāšanās un ar skaidrojošiem komentāriem angļu valodāTas citiem ļaunprātīgiem dalībniekiem atvieglo tā kopēšanu, pielāgošanu un jaunu kampaņu uzsākšanu.
Gandrīz vienlaicīgā Coruna un DarkSword izlaišana ilustrē to, cik lielā mērā mainās iOS ielaušanās rīku tirgus. Tas, kas kādreiz bija "snaipera ieroči", kas bija paredzēti mērķtiecīgām operācijām pret konkrētiem mērķiem, tagad pārvēršas par... masveida lietošanas arsenāls, ar potenciālu ietekmi, kas sniedzas tālu ārpus diplomātiskajām vai militārajām aprindām.
Kādu informāciju DarkSword var nozagt no iPhone?
Tehniskie ziņojumi ir vienisprātis, ka DarkSword spēj iegūt ļoti plašu sensitīvu datu klāstu. Kad ielaušanās ir pabeigta, pēcierobežojuma moduļi var piekļūt šiem datiem. saglabātās paroles, autentifikācijas žetoni un mākoņpakalpojumu akreditācijas datiTie ietver e-pasta kontus, sociālos medijus un piekļuvi finanšu pakalpojumiem.
Komunikāciju jomā komplekts ir sagatavots apkopošanai ziņojumi un žurnāli no iMessage, WhatsApp un Telegramkā arī citas ziņojumapmaiņas lietojumprogrammas, kas izmanto tās pašas iekšējās datubāzes. Tas ļauj rekonstruēt iepriekšējās sarunas, iegūt tālruņu numurus un metadatus par to, ar ko un cik bieži tiek runāts.
DarkSword ir vērsts arī uz ierīces personiskākajiem aspektiem: fotoattēliem, videoklipiem, pārlūkošanas vēsture, piezīmes, kalendārs un lietotnes “Veselība” datiTas nav tikai abstrakts privātuma jautājums; daudzos gadījumos šie dati ļauj profilēt ikdienas rutīnu, paradumus, aptuveno atrašanās vietu un pat informāciju par veselības stāvokli, kas ir īpaši sensitīva informācija saskaņā ar stingriem Eiropas datu aizsardzības noteikumiem.
Prioritārs mērķis ir kriptovalūtu maki un citi digitālie aktīviĻaunprogrammatūra ir īpaši vērsta pret akreditācijas datiem un atslēgām, kas saistītas ar makiem, apmaiņas platformām un finanšu lietojumprogrammām. Pētnieki ir dokumentējuši kampaņas, kurās DarkSword operatori izmantoja krāpnieciskas kriptovalūtu vietnes, lai veicinātu līdzekļu zādzības, tādējādi apvienojot spiegošanu un finanšu noziegumus.
Tas viss tiek paveikts relatīvi īsā laika posmā. "Bezfailu" dizains veicina ātrus uzbrukumus, kuros spiegprogrammatūra pirmajās minūtēs pēc inficēšanās apkopo pēc iespējas vairāk informācijas un pēc tam... notīra lielu daļu savu pēdu nospiedumuTas samazina iespējamību, ka lietotājs pamanīs kaut ko neparastu tālruņa darbībā.
Aizsardzības pasākumi: atjauninājumi, izolācijas režīms un labākā prakse
Šāda mēroga varoņdarba priekšā galvenā aizsardzības līnija, lai cik vienkārši tas izklausītos, ir Atjauniniet savu iPhoneApple ir vairākkārt labojis pamatā esošās ievainojamības: vispirms ar īpašiem drošības atjauninājumiem operētājsistēmai iOS 18, pēc tam ar ielāpiem, piemēram, iOS 18.7.2, un visbeidzot, novēršot nepilnības jaunākajā iOS 26 sērijā.
Praksē ieteikums jebkuram lietotājam Spānijā vai pārējā Eiropā ir piekļūt Iestatījumi> Vispārīgi> Programmatūras atjauninājums un pārliecinieties, vai ierīcē darbojas jaunākā tās modelim pieejamā versija. Ja iPhone var atjaunināt uz iOS 26, vislabāk to darīt pēc iespējas ātrāk. Ierīcēs, kurās joprojām darbojas iOS 18, ir svarīgi instalēt visus Apple izlaistos drošības ielāpus.
Vēl viens svarīgs aizsardzības līmenis ir Bloķēšanas režīmsŠis režīms, kas sākotnēji bija paredzēts augsta riska lietotājiem — žurnālistiem, aktīvistiem, valsts amatpersonām —, ir izrādījies efektīvs, bloķējot vai vismaz ievērojami kavējot tādus ekspluatācijas tīklus kā DarkSword un Coruna. Faktiski daži no šiem komplektiem izvēlas pārtraukt ielaušanos, ja tie konstatē, ka ierīce atrodas šajā režīmā, lai neatstātu nekādas pēdas, kas varētu atvieglot izmeklēšanu.
Papildus atjauninājumiem un uzlabotajām funkcijām pastāv vairākas labākās prakses, kas joprojām ir spēkā. Lai gan šajā konkrētajā kampaņā Nav nepieciešams klikšķināt uz dīvainām saitēm Lai izvairītos no inficēšanās, ieteicams ierobežot pakļaušanu riskam, apmeklējot tikai uzticamas tīmekļa vietnes, izvairoties no nešifrētiem publiskiem Wi-Fi tīkliem un regulāri pārskatot sistēmas privātuma un drošības iestatījumus.
Lietotājiem, kas apstrādā lielu apjomu sensitīvu datu vai digitālo resursu, var būt lietderīgi paļauties uz specializēti uzraudzības rīki piemēram, tādus, ko piedāvā mobilo ierīču drošības nozares uzņēmumi. Tie nav maģisks risinājums, īpaši šādu slepenu uzbrukumu gadījumā, taču tie var palīdzēt atklāt anomālu uzvedību vai neaizsargātas konfigurācijas.
DarkSword lieta ir kalpojusi arī kā atgādinājums daudziem iPhone īpašniekiem Eiropā, ka drošība uzreiz pēc izlaišanas nav nevainojama. iOS joprojām ir viena no stabilākajām mobilajām platformām, taču valsts līmeņa draudi un liela budžeta ekspluatācijas tirgi Tie sasniedz tādu sarežģītības līmeni, kas prasa īpašu piesardzību un ļoti nopietni uztvert drošības atjauninājumus.
