По оценкам Apple, более четверти всех активных iPhone и iPad (около 600 млн устройств) работают на устаревших версиях iOS, которые уязвимы к недавно обнародованному эксплойт‑киту DarkSword.
На прошлой неделе исследователи в области кибербезопасности обнаружили масштабную кампанию, использующую DarkSword для компрометации iOS‑устройств. Спустя несколько дней исходный код новой версии инструмента появился в открытом доступе на GitHub, что делает его практически «публичным» оружием.
Развитие угрозы
DarkSword впервые привлёк внимание специалистов в начале 2024 года, когда было подтверждено его применение в целенаправленных атаках на iPhone. Инструмент изначально использовался ограниченным кругом операторов, однако утечка кода превратила его в общедоступный набор скриптов, позволяющих даже неопытным злоумышленникам эксплуатировать уязвимости iOS 18 и более ранних версий.
В то же время в индустрии обсуждался аналогичный набор Coruna, разработанный американским оборонным подрядчиком L3Harris для государственных нужд. Оба инструмента демонстрируют рост профессионализма и доступности мобильных эксплойтов.
Техническая архитектура
Исходный пакет DarkSword состоит из простых HTML‑ и JavaScript‑файлов, которые могут быть размещены на любом веб‑сервере за считанные минуты. Основные элементы включают:
- Эксплойт‑модуль – использует уязвимости ядра iOS для получения доступа к файловой системе.
- Экзфильтрация данных – передаёт собранные файлы (контакты, сообщения, журнал вызовов, содержимое iOS‑keychain) через HTTP на сервер, контролируемый атакующим.
- Инъекция в процесс – комментарии кода указывают, что полезная нагрузка должна быть внедрена в процесс с правами доступа к файловой системе.
Встроенные комментарии раскрывают детали «post‑exploitation», включая сбор конфиденциальных сведений и их отправку в удалённый репозиторий. Один из скриптов даже упоминает загрузку данных на популярный украинский сайт одежды, что может свидетельствовать о попытке скрыть следы или использовать легитимный трафик.
Таблица ниже суммирует ключевые различия между DarkSword и Coruna.
| Параметр | DarkSword | Coruna |
|---|---|---|
| Целевые ОС | iOS 18 и ниже | iOS 18 и ниже |
| Происхождение | Группы, связанные с российскими актёрами | Американский оборонный подрядчик L3Harris |
| Модель распространения | Публичный репозиторий GitHub | Продажа правительственным клиентам |
| Уровень сложности | HTML/JS – лёгкая адаптация | Сложный набор модулей, требующий специализированных навыков |
Для снижения риска эксперты советуют:
- Обновить iOS до последней версии, выпущенной Apple.
- Включить режим Lockdown Mode, который блокирует известные векторные атаки.
- Избегать установки профилей и сертификатов из непроверенных источников.
- Регулярно проверять наличие обновлений безопасности и применять их без откладывания.
Взгляд в будущее
Утечка DarkSword демонстрирует, как быстро инструменты, ранее доступные лишь узкому кругу, могут стать «оружием массового применения». Ожидается, что в ближайшие годы появятся новые публичные репозитории с похожими наборами эксплойтов, что усилит давление на производителей мобильных ОС для ускорения выпуска патчей и усиления механизмов защиты.
