Утечка хакерских инструментов Coruna и DarkSword: угроза для пользователей iPhone и iPad
Утечка хакерских инструментов Coruna и DarkSword: угроза для пользователей iPhone и iPad
Исследователи безопасности выявили серию кибератак, нацеленных на пользователей Apple по всему миру. Инструменты, задействованные в этих кампаниях, получили названия Coruna и DarkSword. Их используют как государственные шпионы, так и киберпреступники для кражи данных с iPhone и iPad.
Массовые атаки на пользователей iPhone и iPad — редкость. За последнее десятилетие известны лишь случаи атак на уйгуров в Китае и жителей Гонконга.
Что такое Coruna и DarkSword?
Coruna и DarkSword — это наборы продвинутых хакерских инструментов, содержащих эксплойты для взлома iPhone и iPad и кражи данных: сообщений, данных браузера, истории местоположений, криптовалюты.
- Эксплойты Coruna способны взламывать устройства с iOS 13 по iOS 17.2.1 (выпущена в декабре 2023 года).
- DarkSword содержит эксплойты для устройств с iOS 18.4 и 18.7 (выпущены в сентябре 2025 года).
Угроза от DarkSword более актуальна для широкой публики: часть инструментария утекла и была опубликована на GitHub, что позволяет любому скачать вредоносный код и атаковать пользователей Apple с устаревшими версиями iOS.
Как работают Coruna и DarkSword?
Эти атаки опасны и не избирательны — они могут затронуть любого, кто посетит сайт с вредоносным кодом. В некоторых случаях жертва может быть взломана просто при посещении легитимного сайта, контролируемого хакерами.
После заражения Coruna и DarkSword используют уязвимости в iOS, позволяя хакерам практически полностью контролировать устройство и красть личные данные. Данные затем загружаются на сервер хакеров.
Откуда взялись эти хакерские инструменты?
Часть инструментария Coruna была разработана компанией Trenchant (подразделение оборонного подрядчика L3Harris). Позже эти эксплойты попали в руки российских шпионов и китайских киберпреступников.
Компания Kaspersky связала два эксплойта из Coruna с Operation Triangulation — сложной кибератакой, предположительно проведённой против российских пользователей iPhone.
В случае с DarkSword зафиксированы атаки на пользователей в Китае, Малайзии, Турции, Саудовской Аравии и Украине. Кто разработал DarkSword и как инструменты утекли в сеть — остаётся неясным.
Как DarkSword утек в сеть?
Неизвестно, кто и зачем опубликовал инструменты на GitHub. Они написаны на HTML и JavaScript, что упрощает их настройку и размещение для запуска атак.
По словам Джастина Альбрехта (главный исследователь компании Lookout), DarkSword теперь фактически готов к использованию «из коробки».
GitHub заявил, что не удаляет утекший код, но сохраняет его для исследований в области безопасности.
Уязвим ли мой iPhone или iPad для DarkSword?
Если ваше устройство не обновлено, рекомендуется сделать это немедленно. По данным Apple, пользователи с последними версиями iOS 15–iOS 26 уже защищены.
iVerify рекомендует обновить ПО до iOS 18.7.6 или iOS 26.3.1, чтобы устранить уязвимости.
По статистике Apple, почти треть пользователей iPhone и iPad не используют последнюю версию iOS 26. С учётом более чем 2,5 млрд активных устройств по всему миру, сотни миллионов могут быть уязвимы.
Что делать, если я не могу или не хочу обновляться до iOS 26?
Apple сообщает, что устройства с включённым Lockdown Mode (дополнительная функция безопасности, представленная в iOS 16) также защищены от этих атак.
Lockdown Mode полезен для журналистов, диссидентов, правозащитников и всех, кто может стать целью из-за своей деятельности. Хотя этот режим не идеален, нет публичных свидетельств того, что хакеры смогли обойти его защиту.