Kitul de hacking DarkSword, scurs pe GitHub, lasă sute de milioane de iPhone și iPad vulnerabile la atacuri Internet

Săptămâna trecută, cercetători în securitate cibernetică au descoperit o campanie de hacking îndreptată împotriva utilizatorilor de iPhone, care folosea un instrument avansat numit DarkSword. Acum, o versiune mai nouă a DarkSword a fost scursă și publicată pe platforma de partajare de cod GitHub.

Cercetătorii avertizează că această scurgere le va permite oricărui hacker să folosească foarte ușor instrumentele pentru a ataca utilizatorii de iPhone care rulează versiuni mai vechi ale sistemelor de operare Apple și care nu au făcut încă actualizarea la cel mai nou iOS 26. Conform datelor proprii ale Apple privind dispozitivele neactualizate, această problemă vizează probabil sute de milioane de iPhone-uri și iPad-uri aflate în uz activ.

„This is bad. They are way too easy to repurpose”, a declarat luni Matthias Frielingsdorf, cofondator al startup-ului de securitate mobilă iVerify. „I don’t think that can be contained anymore. So we need to expect criminals and others to start deploying this.”

Frielingsdorf a explicat că noile versiuni ale spyware-ului DarkSword folosesc aceeași infrastructură ca variantele analizate anterior de el și colegii săi de la iVerify, chiar dacă fișierele sunt puțin diferite. Fișierele încărcate pe GitHub sunt simple, constând doar din HTML și JavaScript, a spus el. Oricine le poate copia, le poate lipi și le poate găzdui pe un server „în câteva minute până la câteva ore”.

„The exploits will work out of the box”, a precizat Frielingsdorf. „There is no iOS expertise required.”

Kimberly Samra, purtătoare de cuvânt a companiei Google, care a analizat anterior exploit-ul DarkSword, a declarat că cercetătorii companiei sunt de acord cu evaluarea făcută de Frielingsdorf.

Un pasionat de securitate care folosește pseudonimul matteyeux a declarat de asemenea că este într-adevăr trivial să fie utilizate mostrele DarkSword scurse. Într-o postare pe X, publicată luni, matteyeux a scris că a reușit să spargă un iPad mini care rula iOS 18 – generația anterioară a sistemului de operare, vulnerabilă la DarkSword – folosind mostra DarkSword „in the wild” care circulă online.

Purtătoarea de cuvânt a Apple, Sarah O’Rourke, a declarat că firma este conștientă de exploit-ul care vizează dispozitivele cu versiuni vechi și neactualizate ale sistemului de operare și că, pe 11 martie, compania a lansat o actualizare de urgență pentru dispozitivele care nu pot rula versiunile recente de iOS.

„Keeping your software up to date is the single most important thing you can do to maintain the security of your Apple products”, a spus O’Rourke, subliniind că dispozitivele cu software actualizat nu sunt expuse riscului acestor atacuri raportate și că modul Lockdown va bloca, de asemenea, aceste atacuri specifice.

Un purtător de cuvânt al Microsoft, compania care deține GitHub, nu a răspuns imediat solicitării de comentarii.

Codul, la care nu se face trimitere directă deoarece poate fi folosit în atacuri active, conține mai multe comentarii ce descriu modul de funcționare al exploit-urilor și pașii de implementare. Unul dintre comentarii, probabil scris de unul dintre dezvoltatorii DarkSword, menționează că exploit-ul „reads and exfiltrates forensically-relevant files from iOS devices via HTTP”, adică fură fișiere relevante din punct de vedere criminalistic de pe iPhone sau iPad și le trimite prin internet către un server controlat de atacator.

„This payload should be injected into a process with filesystem access class”, se arată în comentariu.

Într-un alt punct, codul face referire la „post-exploitation activity” și descrie etapa de după ce malware-ul a obținut acces la telefonul victimei. Atunci extrage conținutul dispozitivului – contacte, mesaje, istoricul apelurilor, precum și iOS keychain, care stochează parole Wi-Fi și alte secrete – și îl transferă pe un server la distanță.

Un alt fișier include referiri la încărcarea datelor pe un popular site ucrainean de îmbrăcăminte, deși nu este clar de ce. DarkSword ar fi fost folosit de hackeri ai guvernului rus împotriva unor ținte ucrainene.

Acest spyware este conceput să funcționeze în mod special împotriva iPhone-urilor și iPad-urilor care rulează iOS 18, potrivit iVerify, Google și Lookout, care au analizat anterior malware-ul DarkSword.

Conform cifrelor comunicate de Apple, aproximativ un sfert dintre utilizatorii de iPhone și iPad folosesc încă iOS 18 sau versiuni anterioare pe dispozitivele lor. Având în vedere că există peste 2,5 miliarde de dispozitive active, asta înseamnă, foarte probabil, sute de milioane de persoane cu dispozitive vulnerabile la atacuri DarkSword.

Din acest motiv, Frielingsdorf recomandă ca toți utilizatorii să își actualizeze sistemul de operare de pe iPhone. Actualizarea reduce riscul și limitează oportunitățile pentru atacatori.

Descoperirea DarkSword a venit la doar câteva săptămâni după ce cercetătorii au identificat un alt toolkit avansat de hacking pentru iPhone, cunoscut sub numele de Coruna. Potrivit relatărilor, Coruna a fost inițial dezvoltat de contractorul de apărare L3Harris, prin divizia sa Trenchant, care creează instrumente de hacking pentru guvernul SUA și aliații săi.