Scurgere masivă de unelte de hacking Coruna și DarkSword expune sute de milioane de iPhone și iPad neactualizate la furt de date

Cercetătorii în securitate cibernetică au descoperit o serie de atacuri informatice care vizează clienți Apple din întreaga lume. Instrumentele folosite în aceste campanii de hacking au fost numite Coruna și DarkSword și au fost utilizate atât de spioni guvernamentali, cât și de infractori cibernetici pentru a fura date de pe iPhone-urile și iPad-urile utilizatorilor.

Este neobișnuit să fie identificate atacuri la scară largă îndreptate împotriva posesorilor de iPhone și iPad. În ultimul deceniu, singurele precedente au vizat comunitatea musulmană uigură din China și persoane din Hong Kong.

Acum, unele dintre aceste instrumente de hacking extrem de puternice au ajuns online, fiind scurse în mod necontrolat. Aceasta ar putea pune în pericol sute de milioane de iPhone-uri și iPad-uri cu software neactualizat, expunându-le riscului de furt de date.

În continuare este prezentat ce se știe și ce nu se știe încă despre aceste noi amenințări care țintesc iPhone și iPad, dar și ce pot face utilizatorii pentru a se proteja.

Coruna și DarkSword sunt două seturi avansate de instrumente de hacking, fiecare conținând o gamă de exploatări capabile să compromită iPhone-uri și iPad-uri și să extragă datele utilizatorilor, cum ar fi mesaje, istoricul de navigare, istoricul locațiilor sau criptomonedele.

Cercetătorii în securitate care au descoperit aceste kituri afirmă că exploatările din Coruna pot ataca dispozitive cu iOS 13 până la iOS 17.2.1, versiune lansată în decembrie 2023.

DarkSword, în schimb, include exploatări capabile să compromită dispozitive mai recente, cu iOS 18.4 și 18.7, lansate în septembrie 2025, potrivit specialiștilor de la Google care analizează codul.

Totuși, amenințarea reprezentată de DarkSword este mai directă pentru publicul larg. O parte din DarkSword a fost scursă și publicată pe platforma de partajare de cod GitHub, ceea ce face ușor pentru oricine să descarce acest cod malițios și să lanseze propriile atacuri îndreptate împotriva utilizatorilor Apple care rulează versiuni mai vechi de iOS.

Acest tip de atacuri este, prin definiție, nediscriminatoriu și periculos, pentru că poate afecta orice persoană care vizitează un anumit site web ce găzduiește codul malițios.

În unele situații, victima poate fi infectată doar accesând un site legitim aflat, în realitate, sub controlul hackerilor.

În momentul infectării inițiale, Coruna și DarkSword valorifică mai multe vulnerabilități din iOS care le permit atacatorilor să preia practic controlul total asupra dispozitivului vizat. Ulterior, datele private ale utilizatorului sunt sustrase și încărcate pe un server web administrat de hackeri.

Cel puțin o parte din instrumentele din Coruna, așa cum a fost raportat anterior, au fost dezvoltate inițial de Trenchant, o unitate specializată în hacking și spyware din cadrul contractorului american de apărare L3Harris, care vinde exploatări guvernului SUA și principalilor săi aliați.

Kaspersky a legat de asemenea două dintre exploatările din Coruna de Operațiunea Triangulation, un atac cibernetic complex și, cel mai probabil, coordonat la nivel guvernamental, atribuit unor acțiuni împotriva utilizatorilor de iPhone din Rusia.

După ce Trenchant a dezvoltat Coruna, aceste exploatări au ajuns, într-un mod încă neclar, în mâinile spionilor ruși și ale infractorilor cibernetici chinezi. Probabil au fost implicate una sau mai multe verigi intermediare care vând astfel de exploatări pe piețele subterane.

„Călătoria” Coruna demonstrează din nou că instrumentele de hacking extrem de puternice, inclusiv cele create în SUA sub reguli stricte de confidențialitate, pot scăpa de sub control și se pot răspândi neprevăzut.

Un exemplu notoriu a apărut în 2017, când o exploatare dezvoltată de Agenția Națională de Securitate a SUA, capabilă să compromită de la distanță calculatoare cu Windows din întreaga lume, a fost scursă online. Aceeași exploatare a stat ulterior la baza atacului de tip ransomware WannaCry, care a infectat, fără discriminare, sute de mii de computere la nivel global.

În cazul DarkSword, cercetătorii au observat atacuri îndreptate împotriva utilizatorilor din China, Malaezia, Turcia, Arabia Saudită și Ucraina. Nu se știe încă cine a dezvoltat inițial DarkSword, cum a ajuns acesta în arsenalul mai multor grupări de hackeri sau cum au fost scurse instrumentele online.

De asemenea, rămâne neclar cine a publicat codul pe GitHub și din ce motiv.

Instrumentele de hacking, care au fost analizate de presă de specialitate, sunt scrise în limbaje web, HTML și JavaScript. Astfel devin relativ ușor de configurat și găzduit oriunde de către oricine vrea să lanseze atacuri malițioase. Cercetători care au discutat public pe rețele sociale au testat deja aceste instrumente scurse, hackuindu-și propriile dispozitive Apple cu versiuni vulnerabile ale software-ului companiei.

DarkSword este acum „practic plug-and-play”, a explicat Justin Albrecht, cercetător principal la compania de securitate mobilă Lookout.

GitHub a comunicat că nu a eliminat codul scurs, dar îl va păstra pentru cercetare în domeniul securității.

„GitHub’s Acceptable Use Policies prohibit posting content that directly supports unlawful active attack or malware campaigns that are causing technical harms,” a declarat consilierul pentru siguranță online al GitHub, Jesse Geraci. „However, we do not prohibit the posting of source code which could be used to develop malware or exploits, as the publication and distribution of such source code has educational value and provides a net benefit to the security community.”

Dacă aveți un iPhone sau un iPad care nu este actualizat, ar trebui să luați în calcul actualizarea imediată a sistemului de operare.

Compania a transmis că utilizatorii care rulează cele mai noi versiuni de iOS 15 până la iOS 26 sunt deja protejați.

Conform iVerify: „We strongly recommend updating to iOS 18.7.6 or iOS 26.3.1. This will mitigate all vulnerabilities that have been exploited in these attack chains.”

Potrivit statisticilor proprii ale Apple, aproape unul din trei utilizatori de iPhone și iPad nu folosește încă cea mai recentă versiune de iOS 26. Asta înseamnă că există potențial sute de milioane de dispozitive vulnerabile la aceste instrumente de hacking, având în vedere că Apple se laudă cu peste 2,5 miliarde de dispozitive active la nivel mondial.

Apple a mai precizat că dispozitivele pe care este activat Lockdown Mode, o opțiune suplimentară de securitate introdusă pentru prima dată în iOS 16, blochează și aceste atacuri specifice.

Lockdown Mode este util pentru jurnaliști, disidenți, activiști pentru drepturile omului și pentru oricine crede că poate fi ținta unor atacuri din cauza identității sau a activității sale.

Deși Lockdown Mode nu este perfect, până acum nu a fost prezentată public nicio dovadă că hackerii au reușit să îi depășească măsurile de protecție. Modul a fost, cel puțin într-un caz documentat, eficient în blocarea unei tentative de a instala spyware pe telefonul unui apărător al drepturilor omului.