Шпионское ПО для iPhone стало доступно всем желающим: код DarkSword утёк на GitHub

Неизвестный выложил на GitHub новую версию DarkSword — мощного хакерского инструмента, который ещё неделю назад использовался в целенаправленных атаках на владельцев iPhone. Утечка фактически превратила кибероружие спецслужб в общедоступный конструктор для взлома сотен миллионов устройств Apple.

Исследователи в области кибербезопасности впервые обнаружили DarkSword на прошлой неделе. Теперь же кто-то слил обновлённую версию шпионского ПО в открытый доступ, и специалисты бьют тревогу.

«Дела плохи. Перепрофилировать эти инструменты слишком легко, — заявил TechCrunch Маттиас Фрилингсдорф, сооснователь компании iVerify, специализирующейся на мобильной безопасности. — Сдержать распространение уже невозможно. Стоит ожидать, что DarkSword начнут использовать и обычные киберпреступники».

По словам Фрилингсдорфа, выложенные на GitHub файлы представляют собой простой HTML и JavaScript — скопировать код и развернуть на собственном сервере сможет любой человек за пару часов. Никаких специальных знаний об iOS для запуска эксплойтов не требуется. Представитель Google Кимберли Самра подтвердила, что аналитики компании разделяют такую оценку.

Энтузиаст в области безопасности под ником matteyeux на практике доказал простоту использования DarkSword: взломал iPad mini под управлением iOS 18 с помощью утёкших образцов и описал процесс в публикации на платформе X.

DarkSword нацелен на устройства Apple, работающие под управлением iOS 18 и более ранних версий. По собственным данным Apple, около четверти всех iPhone и iPad до сих пор используют устаревшее ПО. При общей базе в 2,5 миллиарда активных устройств число потенциальных жертв исчисляется сотнями миллионов.

Компания Apple сообщила, что знала об уязвимости и ещё 11 марта выпустила экстренное обновление для устройств, не поддерживающих новейшие версии iOS. Представитель Apple Сара О'Рурк подчеркнула: своевременное обновление ПО остаётся главной мерой защиты, а режим Lockdown Mode также блокирует подобные атаки. Устройства с актуальной прошивкой DarkSword не угрожает.

Анализ утёкшего кода показал, что шпионская программа извлекает с заражённого iPhone или iPad контакты, сообщения, историю звонков и содержимое связки ключей iOS, где хранятся пароли от Wi-Fi и другие конфиденциальные данные, а затем отправляет собранное на подконтрольный злоумышленнику сервер. В одном из файлов обнаружились ссылки на популярный украинский интернет-магазин одежды, хотя назначение такой привязки пока остаётся неясным.

Компания Lookout также провела независимый анализ DarkSword и подтвердила нацеленность шпионского ПО на устройства с iOS 18.

Утечка DarkSword произошла вскоре после обнаружения другого продвинутого набора инструментов для взлома iPhone — Coruna, разработанного оборонным подрядчиком L3Harris для правительства США и союзников. Два инцидента подряд обнажили серьёзную проблему: кибероружие, созданное для спецслужб, всё чаще оказывается в руках тех, от кого оно должно было защищать.