Nowo odkryta metoda hakowania iPhone’a, nazwana DarkSword, stanowi poważne zagrożenie dla setek milionów urządzeń iOS na całym świecie. Narzędzie to, spotykane na zainfekowanych stronach internetowych, umożliwia atakującym dyskretną kradzież danych z podatnych na ataki iPhone’ów — ryzyko to podkreśla rosnącą tendencję do zwiększania dostępności i nieczytelności wyrafinowanych narzędzi hakerskich.
Zagrożenie Mrocznym Mieczem
Badacze z Google, iVerify i Lookout współpracowali, aby odkryć istnienie DarkSword. Technika ta wykorzystuje luki w starszych wersjach systemu operacyjnego iOS firmy Apple, w szczególności w iOS 18, który według stanu na ostatni miesiąc jest nadal zainstalowany na około 25% iPhone’ów. Atakujący umieszczają to narzędzie na stronach internetowych; każdy iPhone odwiedzający zainfekowaną witrynę może zostać natychmiast naruszony.
Powaga leży w jego prostocie: hakerzy mogą z łatwością wdrożyć DarkSword na swoich serwerach, zamieniając dowolną witrynę internetową w potencjalny wektor infekcji. Łatwość wdrożenia pogarsza fakt, że kod narzędzia został w pełni udokumentowany, wraz z objaśniającymi komentarzami, na zaatakowanych stronach internetowych.
Rosyjskie szpiegostwo i proliferacja
DarkSword był już powiązany z rosyjskimi grupami wywiadu państwowego, które korzystały z niego wraz z innym zaawansowanym zestawem narzędzi, Coruną. Obydwa narzędzia wdrożono na ukraińskich stronach internetowych w celu gromadzenia danych od odwiedzających.
Zagrożenie wykracza jednak poza podmioty państwowe. DarkSword zaobserwowano także w atakach na ofiary w Arabii Saudyjskiej, Turcji i Malezji, co wskazuje na jego rozprzestrzenianie się wśród kilku grup hakerów. Powszechna dostępność narzędzia sugeruje, że jest ono obecnie powszechnym towarem w świecie cyberprzestępczym.
Metody kradzieży i ukrywania danych
DarkSword ma na celu kradzież wrażliwych danych, w tym haseł, zdjęć, wiadomości, historii przeglądarki, wpisów w kalendarzu, danych zdrowotnych, a nawet danych uwierzytelniających portfela kryptowalutowego. Działa przy użyciu „bezplikowego” złośliwego oprogramowania, które wykorzystuje legalne procesy systemowe, aby uniknąć wykrycia i pozostawić minimalne ślady.
W przeciwieństwie do tradycyjnego oprogramowania szpiegującego, DarkSword nie pozostaje na urządzeniu po ponownym uruchomieniu. Zamiast tego wykonuje szybką operację typu „uderz i uciekaj”, wyodrębniając dane w ciągu kilku minut od infekcji.
Dlaczego to ma znaczenie
Powszechna dostępność narzędzi takich jak DarkSword jest niepokojąca, ponieważ obniżają one barierę wejścia dla cyberprzestępczości. Wcześniej takie metody były przeznaczone wyłącznie do wysoce ukierunkowanych ataków na konkretne osoby. Są teraz dostępne dla szerszego grona osób, w tym dla przestępców motywowanych finansowo, co zwiększa ryzyko dla zwykłych użytkowników iPhone’a.
Firma Apple wydała aktualizacje zabezpieczeń, w tym poprawki dla starszych urządzeń, ale sama liczba niepodłączonych urządzeń, na których działają podatne wersje systemu iOS, stwarza ogromną powierzchnię ataku. Firma podkreśla, że aktualizacja oprogramowania to najważniejszy krok, jaki może wykonać użytkownik.
Rozszerzanie rynku eksploatacji
Pojawienie się DarkSworda wraz z Coruną wskazuje na coraz bardziej aktywny rynek exploitów zero-day. Eksperci podejrzewają, że firma „pośrednicza”, prawdopodobnie Trenchant (spółka zależna L3Harris), sprzedaje te narzędzia bez szczegółowej weryfikacji, przez co wpadają one w ręce zarówno podmiotów rządowych, jak i cyberprzestępców.
Tendencja ta sugeruje, że wysoce skuteczne techniki hakerskie nie są już wyłączną domeną państw lub elitarnych grup hakerskich. Utowarowienie exploitów grozi destabilizacją bezpieczeństwa cyfrowego, ponieważ napastnicy postrzegają obecnie exploity dnia zerowego jako materiał eksploatacyjny, a nie starannie chronioną broń.
Ostatecznie rozprzestrzenianie się narzędzi takich jak DarkSword sygnalizuje zwrot w kierunku bardziej masowych cyberataków, w których masowa eksploatacja jest priorytetem przed ukierunkowanym szpiegostwem.
