Уязвимость, известная как Темный Меч Это стало одним из самых серьезных инцидентов в сфере безопасности, затронувших iPhone за последнее время. Исследователи из Google, iVerify и Lookout задокументировали, как этот набор угроз... эксплойты без кликов Это позволяет получить контроль над устройствами с iOS 18, просто загрузив зараженную веб-страницу, без необходимости нажимать какие-либо кнопки или открывать подозрительные ссылки.
Этот случай вызвал тревогу в европейском сообществе специалистов по кибербезопасности, потому что сотни миллионов айфонов Уязвимые версии iOS 18 всё ещё работают по всему миру. Хотя Apple уже выпустила исправления и экстренные патчи, внедрение последних версий идёт медленнее, чем ожидалось, отчасти из-за сомнений в том, как это работает. управлять пространством, которая поддерживает значительная площадь атаки как в Европе, так и на других рынках.
Что же такое DarkSword и почему он вызывает столько опасений?
DarkSword — это не просто единичный недостаток, а целая система. полный набор инструментов для атаки на iOS Разработан для взлома iPhone без участия пользователя. Технический анализ показывает, что цепочка инструментов включает в себя следующее: шесть уязвимостей нулевого дня перейти от браузера Safari к ядру операционной системы, получив достаточные привилегии для доступа практически ко всей информации на устройстве.
Первоначальная кампания была обнаружена в Десятки легитимных украинских сайтов которые были подвергнуты манипуляциям. Простого доступа к одной из этих страниц с зараженного iPhone было достаточно, чтобы запустить цепочку эксплойтов в фоновом режиме. После этого DarkSword мог читать сообщения iMessage, WhatsApp и Telegram, просматривать историю просмотров, заметки, события календаря и даже получать доступ к записям из приложения Apple Health.
Один из моментов, который больше всего беспокоит исследователей, заключается в том, что атака была осуществлена в больших масштабах, а не только против высокопоставленных целей. Согласно данным, собранным компаниями iVerify и Lookout, от 220 до 270 миллионов iPhone Они продолжают использовать уязвимые версии iOS 18, что на практике составляет около 14-25% от общего числа активных iPhone.
Кроме того, DarkSword использует архитектуру постэксплуатационных модулей, которые аналитики называют кодовыми именами, например, Призрачный клинок, Призрачный нож или Призрачная сабля— которые отвечают за сбор и обработку украденной информации в очень короткие сроки, что особенно привлекательно для шпионских кампаний и кража криптовалюты.
Как работает атака: от Safari до ядра iOS
DarkSword работает, используя цепочку связанных между собой уязвимостей безопасности. Основная точка входа — это Браузер Safari или любой компонент, отображающий веб-контент. При загрузке скомпрометированной страницы выполняется код, специально разработанный для использования уязвимостей в движке JavaScript и других компонентах браузера.
После успешного завершения первого этапа эксплойт переходит на более глубокие уровни системы, используя дополнительные уязвимости, пока не достигнет цели. Выполнение кода с повышенными привилегиямиОбладая таким уровнем доступа, злоумышленник может читать внутренние базы данных, извлекать связки паролей, просматривать переписку и получать доступ к файлам, которые обычно защищены даже от приложений самого пользователя.
Данный подход относится к следующему типу БестелесныйДругими словами, DarkSword избегает установки видимых приложений или постоянно доступных файлов. Вместо этого он перехватывает процессы операционной системы, выполняет вредоносные команды из памяти и удаляет все следы в течение нескольких минут. Такое «быстрое и незаметное» поведение делает обнаружение крайне сложным даже для специализированных решений, поскольку после перезагрузки телефона практически не остается никаких явных признаков вторжения.
Этот метод работы напоминает классические приемы, используемые в сложных компьютерных атаках, но адаптированные к экосистеме Apple. Более того, исследователи подчеркивают, что Обычных признаков наличия резидентного шпионского ПО обнаружено не было.Это существенно меняет правила игры для тех, кто привык искать подозрительные приложения на своих устройствах.
Затронутые версии iOS и глобальный охват
Первые волны DarkSword были направлены в первую очередь на iPhone с iOS 18Отчеты Google, Lookout и iVerify неизменно указывают на версии, находящиеся в диапазоне от... iOS 18.4 и iOS 18.6.2 как наиболее явно скомпрометированная из обнаруженных кампаний. В некоторых анализах также упоминается частичное исправление в iOS 18.7.2, в то время как другие указывают на полное устранение уязвимости в iOS 26 и более поздних версиях.
В любом случае, картина, которую рисуют данные, ясна: Очень большое количество устройств по-прежнему работают под управлением iOS 18.Это происходит либо потому, что владельцы не обновили свои устройства до последних версий, либо потому, что они предпочитают избегать изменений интерфейса. Эта ситуация затрагивает не только пользователей в зонах конфликтов, но и миллионы людей в Европейском Союзе и Испании, которые ежедневно используют свои iPhone для банковских операций, цифровой идентификации или электронных подписей.
Исследователи документируют использование DarkSword как минимум с 2000 года. конец 2025Хотя первоначальное обнаружение произошло на украинских территориях, вскоре были выявлены кампании против целей в [неуказанном регионе]. Саудовская Аравия, Турция и МалайзияВ ряде этих случаев уязвимость была внедрена в легитимные веб-сайты, такие как новостные порталы или административные сайты, используя их хорошую репутацию, чтобы остаться незамеченной.
В Европе риск более косвенный, но не менее значительный: любой пользователь, посещающий скомпрометированные страницы, размещенные за пределами Европы, или подключающийся через международные сети, может в конечном итоге загрузить вредоносный код. Кроме того, тот факт, что DarkSword является многоразовым набором инструментов, увеличивает вероятность того, что в конечном итоге он будет интегрирован в [неясно/неясно]. более масштабные кампании по борьбе с киберпреступностьюв том числе и те, которые направлены на кражу данных с онлайн-банковских счетов и криптовалютных кошельков, используемых гражданами европейских стран.
Кто стоит за DarkSword и каковы их отношения с Коруной?
Ключевым моментом для понимания влияния DarkSword является контекст. Ранее в этом месяце та же команда Google и iVerify обнародовала еще один высокоуровневый набор инструментов для атак, известный как CorunaСпособен скомпрометировать iPhone с iOS от 13 до iOS 17.2.1 с помощью 23 связанных между собой уязвимостей. Оба пакета эксплойтов появились. на той же серверной инфраструктуреЭто указывает на общий источник или, по крайней мере, на сотрудничество между несколькими участниками.
Считается, что часть этого арсенала изначально появилась на рынке эксплойтов государственного уровня. В предыдущих расследованиях упоминается случай бывшего члена подразделения Trenchant, принадлежащего оборонному подрядчику L3Harris, который признался в наличии продал ряд уязвимостей российскому посреднику Эта операция получила название «Операция Ноль». После этого цепочки эксплуатации перешли из рук государства в руки менее добросовестных преступных группировок.
В случае с DarkSword компания Google утверждает, что наблюдала за его использованием. коммерческие поставщики услуг видеонаблюдения а также предположительно хакерами, связанными с государственными разведывательными агентствами. Одна из кампаний конкретно связана с турецкой коммерческой компанией по наблюдению PARS Defense, которая совершает атаки на объекты в Турции и Малайзии.
Также присутствуют связи с Россией. Часть кода была развернута в скомпрометированные украинские сайтыИсследователи говорят об операторах, связанных с российскими интересами, которые якобы повторно использовали уязвимость для совмещения политического шпионажа и финансовой выгоды. Самая поразительная деталь заключается в том, что код DarkSword появился на некоторых серверах. без двусмысленности и с пояснительными комментариями на английском языке.Это облегчает другим злоумышленникам копирование, адаптацию и запуск новых кампаний.
Практически одновременный выпуск Coruna и DarkSword наглядно демонстрирует, насколько сильно меняется рынок инструментов для обнаружения вторжений в iOS. То, что когда-то было «снайперским оружием», предназначенным для целенаправленных операций против конкретных целей, теперь трансформируется в... арсенал массового примененияс потенциальным влиянием, простирающимся далеко за пределы дипломатических или военных кругов.
Какую информацию может украсть DarkSword с iPhone?
Технические отчеты сходятся во мнении, что DarkSword способен извлекать очень широкий спектр конфиденциальных данных. После завершения вторжения модули постэксплуатации могут получить к ним доступ. сохраненные пароли, токены аутентификации и учетные данные облачных сервисовК ним относятся учетные записи электронной почты, социальные сети и доступ к финансовым услугам.
В сфере коммуникаций комплект подготовлен для сбора информации. Сообщения и журналы из iMessage, WhatsApp и Telegramа также другие приложения для обмена сообщениями, которые используют те же внутренние базы данных. Это позволяет восстанавливать прошлые разговоры, получать номера телефонов и метаданные о том, с кем и как часто ведется общение.
DarkSword также нацелен на более личные аспекты устройства: фотографии, видео и т.д. история просмотров, заметки, календарь и данные приложения «Здоровье»Это не просто абстрактная проблема конфиденциальности; во многих случаях эти данные позволяют составлять профили повседневной жизни, привычек, приблизительного местоположения и даже информацию о состоянии здоровья, что особенно важно в условиях строгих европейских правил защиты данных.
Приоритетной задачей является криптовалютные кошельки и другие цифровые активыВредоносная программа нацелена на учетные данные и ключи, связанные с кошельками, биржевыми платформами и финансовыми приложениями. Исследователи задокументировали кампании, в которых операторы DarkSword использовали мошеннические сайты криптовалют для облегчения кражи средств, таким образом сочетая шпионаж и финансовые преступления.
Всё это происходит в относительно короткие сроки. «Безфайловая» архитектура способствует быстрым атакам, при которых шпионское ПО собирает как можно больше информации в первые несколько минут после заражения, а затем… убирает значительную часть своих следовЭто снижает вероятность того, что пользователь заметит что-либо необычное в поведении телефона.
Меры защиты: обновления, режим изоляции и лучшие практики.
В условиях атаки такого масштаба основная линия обороны, как бы просто это ни звучало, заключается в следующем: Не забывайте обновлять свой iPhone.Компания Apple устраняет основные уязвимости в несколько этапов: сначала с помощью специальных обновлений безопасности для iOS 18, затем с помощью патчей, таких как iOS 18.7.2, и, наконец, закрывая пробелы в более новой серии iOS 26.
На практике любому пользователю в Испании или остальной Европе рекомендуется использовать следующий способ доступа: Настройки> Общие> Обновление ПО и убедитесь, что на устройстве установлена последняя доступная для данной модели версия iOS. Если iPhone можно обновить до iOS 26, лучше сделать это как можно скорее. Для устройств, все еще работающих под управлением iOS 18, крайне важно установить все обновления безопасности, выпущенные Apple.
Еще одним важным уровнем защиты является Режим изоляцииЭтот режим, изначально разработанный для пользователей с высоким риском — журналистов, активистов, государственных служащих — доказал свою эффективность в блокировании или, по крайней мере, значительном препятствовании работе сетей, использующих уязвимости, подобных тем, что применяют DarkSword и Coruna. Более того, некоторые из этих устройств прерывают вторжение, если обнаруживают, что устройство находится в этом режиме, чтобы избежать оставления каких-либо следов, которые могли бы облегчить расследование.
Помимо обновлений и расширенных функций, существует ряд передовых методов, которые остаются актуальными. Хотя в данной конкретной кампании это не так. Нет необходимости переходить по странным ссылкам. Чтобы избежать заражения, рекомендуется ограничить воздействие, посещая только проверенные веб-сайты, избегая незашифрованных общедоступных сетей Wi-Fi и регулярно проверяя настройки конфиденциальности и безопасности системы.
Для пользователей, работающих с большими объемами конфиденциальных данных или цифровых активов, может быть целесообразно полагаться на специализированные инструменты мониторинга Например, те, что предлагают компании в сфере мобильной безопасности. Это не волшебное решение — особенно при таких скрытых атаках — но они могут помочь обнаружить аномальное поведение или уязвимые конфигурации.
Дело DarkSword также послужило напоминанием многим владельцам iPhone в Европе о том, что встроенная защита не является абсолютно надежной. iOS остается одной из самых надежных мобильных платформ, но угрозы на государственном уровне и рынки высокобюджетных эксплойтов Они достигли такого уровня сложности, который требует крайней осторожности и очень серьезного отношения к обновлениям безопасности.
