Scurgere de unelte de hacking Coruna și DarkSword expune la risc sute de milioane de iPhone și iPad neactualizate

Cercetători în domeniul securității informatice au descoperit o serie de atacuri cibernetice care vizează clienți Apple din întreaga lume. Instrumentele folosite în aceste campanii de hacking au fost denumite Coruna și DarkSword și sunt utilizate atât de servicii de spionaj guvernamentale, cât și de infractori cibernetici pentru a fura date de pe iPhone-urile și iPad-urile utilizatorilor.

Este neobișnuit să apară atacuri pe scară largă care să vizeze direct utilizatorii de iPhone și iPad. În ultimul deceniu, precedentele majore au fost atacurile îndreptate împotriva musulmanilor uiguri din China și împotriva persoanelor din Hong Kong.

Acum, o parte dintre aceste instrumente avansate de hacking au ajuns să fie scurse online, ceea ce pune potențial în pericol sute de milioane de iPhone-uri și iPad-uri cu software neactualizat, vulnerabile la furt de date.

Mai jos este prezentat ce se știe până în acest moment, ce întrebări rămân fără răspuns despre noile amenințări la adresa iPhone și iPad, dar și ce pot face utilizatorii pentru a se proteja.

Coruna și DarkSword sunt două seturi avansate de unelte de hacking. Fiecare conține o gamă de exploit-uri capabile să compromită securitatea iPhone-urilor și iPad-urilor și să sustragă date sensibile ale utilizatorilor, precum mesaje, istoricul de navigare, date de localizare sau criptomonede.

Cercetătorii în securitate care au identificat aceste toolkits afirmă că exploit-urile Coruna pot compromite dispozitive care rulează iOS 13 până la iOS 17.2.1, versiune lansată în decembrie 2023.

DarkSword conține însă exploit-uri capabile să atace dispozitive mai noi, care rulează iOS 18.4 și 18.7, versiuni lansate în septembrie 2025, potrivit cercetătorilor în securitate de la Google care analizează codul.

Pericolul reprezentat de DarkSword este însă mai imediat pentru publicul larg. O parte din DarkSword a fost scursă și publicată pe platforma de partajare de cod GitHub, ceea ce face posibil ca oricine să descarce acest cod malițios și să lanseze propriile atacuri asupra utilizatorilor Apple care folosesc versiuni mai vechi de iOS.

Acest tip de atacuri este, prin natura lor, nediferențiat și extrem de periculos, deoarece poate afecta orice persoană care vizitează un anumit site pe care este găzduit codul malițios.

În anumite situații, victima poate fi compromisă doar accesând un site legitim, dar controlat în secret de hackeri. În momentul infectării inițiale, Coruna și DarkSword exploatează mai multe vulnerabilități din iOS, permițând atacatorilor să preia aproape complet controlul asupra dispozitivului țintit și să extragă date private, care sunt apoi încărcate pe un server web operat de hackeri.

Cel puțin o parte dintre componentele Coruna, după cum s-a relatat anterior, au fost dezvoltate inițial de Trenchant, o unitate specializată în hacking și spyware din cadrul contractorului american de apărare L3Harris, care vinde exploit-uri guvernului SUA și aliaților săi de rang înalt.

Specialiștii de la Kaspersky au asociat, de asemenea, două exploit-uri din Coruna cu Operation Triangulation, un atac cibernetic complex, cel mai probabil coordonat de un stat, îndreptat asupra utilizatorilor de iPhone din Rusia.

După ce Trenchant a creat Coruna, aceste exploit-uri au ajuns – prin mijloace încă neclare – în mâinile spionilor ruși și ale infractorilor cibernetici chinezi. Cel mai probabil, au fost implicate una sau mai multe intermedieri pe piața neagră, unde se comercializează astfel de vulnerabilități.

Parcursul Coruna arată din nou cum instrumentele de hacking extrem de puternice, inclusiv cele dezvoltate în SUA sub restricții stricte de secretizare, pot scăpa de sub control, pot fi scurse și replicate pe scară largă.

Un exemplu relevant s-a produs în 2017, când un exploit dezvoltat de Agenția Națională de Securitate a SUA, capabil să compromită de la distanță computere cu Windows din întreaga lume, a fost publicat online. Același exploit a fost apoi folosit în atacul ransomware WannaCry, care a infectat fără discriminare sute de mii de calculatoare la nivel global.

În cazul DarkSword, cercetătorii au observat atacuri care vizează utilizatori din China, Malaezia, Turcia, Arabia Saudită și Ucraina. Rămâne neclar cine a dezvoltat inițial DarkSword, cum a ajuns în posesia diferitelor grupări de hacking sau cum au fost scurse uneltele pe internet.

Nu este cunoscută identitatea persoanei (sau grupului) care a publicat codul pe GitHub și nici motivația din spatele acestei scurgeri.

Uneltele de hacking, care au fost analizate de jurnaliști și cercetători, sunt scrise în limbajele web HTML și JavaScript, ceea ce le face relativ ușor de configurat și găzduit oriunde de către oricine dorește să lanseze atacuri malițioase. Cercetători care au postat ulterior pe X au testat deja instrumentele scurse, reușind să își hackuiască propriile dispozitive Apple cu versiuni vulnerabile ale sistemului de operare.

DarkSword este acum „practic plug-and-play”, a explicat Justin Albrecht, cercetător principal la compania de securitate mobilă Lookout.

Reprezentanți ai GitHub au precizat că nu au eliminat codul scurs, dar că îl vor păstra pentru cercetare în domeniul securității.

„GitHub’s Acceptable Use Policies prohibit posting content that directly supports unlawful active attack or malware campaigns that are causing technical harms,” a declarat consilierul pentru siguranță online Jesse Geraci. „However, we do not prohibit the posting of source code which could be used to develop malware or exploits, as the publication and distribution of such source code has educational value and provides a net benefit to the security community.”

Dacă deții un iPhone sau un iPad care nu este actualizat, ar trebui să iei în considerare instalarea imediată a celor mai noi versiuni de software.

Apple a transmis că utilizatorii care rulează cele mai recente versiuni de iOS 15 până la iOS 26 sunt deja protejați împotriva acestor atacuri.

Potrivit iVerify: „We strongly recommend updating to iOS 18.7.6 or iOS 26.3.1. This will mitigate all vulnerabilities that have been exploited in these attack chains.”

Conform statisticilor proprii ale companiei, aproape unul din trei utilizatori de iPhone și iPad încă nu rulează cel mai nou iOS 26. Aceasta înseamnă că, raportat la cele peste 2,5 miliarde de dispozitive active la nivel mondial, sute de milioane ar putea fi vulnerabile la aceste unelte de hacking.

Apple a mai precizat că dispozitivele care rulează Lockdown Mode, o funcție suplimentară de securitate opțională, introdusă pentru prima dată în iOS 16, blochează și aceste tipuri specifice de atacuri.

Lockdown Mode este deosebit de util pentru jurnaliști, disidenți, activiști pentru drepturile omului și pentru oricine consideră că poate fi țintit din cauza identității sale sau a activității pe care o desfășoară.

Deși Lockdown Mode nu este o soluție perfectă, până în prezent nu există dovezi publice că hackerii ar fi reușit să ocolească protecțiile oferite de acest mod. S-a documentat deja cel puțin o tentativă de instalare de spyware pe telefonul unui apărător al drepturilor omului care a fost zădărnicită datorită Lockdown Mode.