Naukowcy odkryli szeroko zakrojoną kampanię oprogramowania szpiegującego wycelowaną w iPhone’y firmy Apple, która może narazić na ryzyko setki milionów urządzeń. Szkodliwe oprogramowanie, nazwane „Darksword”, zostało w ostatnich tygodniach wdrożone na kilkudziesięciu ukraińskich stronach internetowych i stanowi rosnący rynek dla wyrafinowanych narzędzi hakerskich, wraz z innym niedawno odkrytym exploitem o nazwie „Coruna”. Ten gwałtowny wzrost możliwości komercyjnego oprogramowania szpiegującego budzi obawy dotyczące cyberataków zarówno sponsorowanych przez państwo, jak i motywowanych korzyściami finansowymi.
Zagrożenie Mrocznym Mieczem
Darksword wykorzystuje luki w zabezpieczeniach iPhone’ów z systemem iOS w wersjach od 18.4 do 18.6.2 (wydanych między marcem a sierpniem 2025 r.) w celu kradzieży wrażliwych danych, w tym informacji o portfelach kryptowalut. Google, Lookout i iVerify wspólnie przeanalizowały złośliwe oprogramowanie i odkryły, że było ono hostowane na tych samych serwerach co Coruna, co wskazuje na wspólną infrastrukturę dla tych ataków.
Kluczowe wnioski:
– Darksword był używany w kampaniach skierowanych do mieszkańców Arabii Saudyjskiej, Turcji, Malezji i Ukrainy.
– Kampanie w Turcji i Malezji są powiązane z PARS Defence, tureckim dostawcą komercyjnego sprzętu do nadzoru.
– Szacuje się, że od 220 do 270 milionów iPhone’ów jest podatnych na ataki, ponieważ użytkownicy nie instalują aktualizacji.
Dlaczego to jest ważne
Rozpowszechnianie się potężnego oprogramowania szpiegującego, takiego jak Darksword i Coruna, pokazuje zmianę w cyberprzestrzeni. Wcześniej narzędzia tego typu były głównie domeną służb wywiadowczych; są one obecnie coraz bardziej dostępne dla siatek przestępczych dzięki zachętom finansowym. Tendencja ta jest niepokojąca, ponieważ obniża barierę wejścia dla przestępców i zwiększa potencjał masowej inwigilacji i kradzieży danych.
„Istnieje obecnie sprawdzony łańcuch dostaw najnowszych exploitów, które trafiły w ręce potencjalnie przestępczych podmiotów nastawionych na korzyści finansowe” – mówi Justin Albrecht, główny badacz w firmie Lookout.
Reakcja Apple i działania użytkownika
Firma Apple potwierdziła luki wykorzystywane przez Darksword i twierdzi, że w ciągu ostatnich kilku lat wydano poprawki w ramach licznych aktualizacji. Firma podkreśla, że aktualność oprogramowania jest najskuteczniejszym sposobem zapobiegania takim atakom. Funkcja Safari Safe Browsing firmy Apple blokuje również znane złośliwe domeny.
Jednak sama liczba iPhone’ów z przestarzałymi wersjami systemu iOS (szacowana na 220–270 milionów) pozostawia odkrytą ogromną powierzchnię ataku.
Zaniedbania w operacjach i przyszłe trendy
Badacze zauważają, że operatorzy Darksword i Coruna stosują luźne praktyki bezpieczeństwa. Sugeruje to, że nie przejmują się ujawnieniem, albo dlatego, że mają pod dostatkiem narzędzi, albo dlatego, że ich głównym celem jest masowa eksploatacja, a nie długoterminowa tajemnica.
Odkrycie tych dwóch exploitów w krótkich odstępach czasu wskazuje na dojrzały ekosystem zaawansowanych narzędzi hakerskich. Fakt, że narzędzia te są wykorzystywane w masowych atakach przy niskim bezpieczeństwie operacyjnym, wskazuje na ich wysoką wartość i użyteczność.
Ostatecznie sytuacja ta uwydatnia ciągły wyścig zbrojeń pomiędzy badaczami bezpieczeństwa, dostawcami oprogramowania i osobami atakującymi. Aby zminimalizować ryzyko, użytkownicy muszą nadać priorytet aktualizacjom oprogramowania i zachować czujność w przypadku phishingu lub odwiedzania podejrzanych witryn internetowych.
