Эксплойт DarkSword: российские хакеры атакуют iPhone
Эксперты Google выявили кампанию по взлому iOS через DarkSword. Хакеры крадут переписку и криптовалюту. Читайте подробный разбор угроз и методов защиты на портале.
Международные эксперты по кибербезопасности из Google Threat Intelligence Group (GTIG), iVerify и Lookout зафиксировали масштабную кампанию по компрометации устройств Apple. В центре внимания оказался высокотехнологичный набор инструментов под названием DarkSword, который позволяет злоумышленникам получать полный контроль над смартфонами iPhone. Особую тревогу вызывает тот факт, что исходный код этой цепочки эксплойтов недавно был опубликован в открытом доступе на платформе GitHub, что сделало мощное кибероружие доступным для широкого круга хакерских группировок.
Эксплойт DarkSword: российские хакеры атакуют iPhone
Механика атаки: «Удар и побег»
В отличие от классического шпионского ПО, ориентированного на многомесячную слежку, DarkSword реализует концепцию «hit-and-run» (ударил и убежал). Основная цель взломщиков — максимально быстрое извлечение критически важных данных и немедленное удаление следов присутствия в системе. Процесс заражения происходит по сценарию watering hole (водопой): хакеры взламывают легитимные веб-ресурсы и внедряют в них вредоносный код. Для заражения устройства пользователю достаточно просто посетить скомпрометированную страницу через браузер Safari.
Техническая цепочка DarkSword включает в себя шесть различных уязвимостей, позволяющих обойти «песочницу» браузера и повысить привилегии до уровня ядра (kernel). По данным исследователей, атака нацелена на устройства под управлением iOS версий от 18.4 до 18.7. После успешного проникновения в память устройства загружается один из трех типов вредоносных модулей: GHOSTBLADE, GHOSTKNIFE или GHOSTSABER.
Связь с российскими спецслужбами
Аналитики связывают текущие кампании с активностью группировки UNC6353, которую в экспертном сообществе ассоциируют с российскими разведывательными структурами. Ранее эта же группа использовала аналогичный набор инструментов Coruna для кибершпионажа. Основными целями текущих атак стали пользователи в Украине, Саудовской Аравии, Турции и Малайзии. В Украине зафиксированы взломы правительственных сайтов и популярных СМИ для распространения эксплойта среди местных жителей.
Спектр похищаемых данных поражает масштабом. Инфостилер в составе DarkSword способен в течение нескольких минут извлечь:
- Личную переписку в Telegram, WhatsApp и iMessage.
- Историю звонков, контакты и данные геолокации.
- Пароли из «Связки ключей» (Keychain).
- Фотографии и файлы из iCloud Drive.
Технические характеристики эксплойта
Для понимания сложности угрозы ниже приведены ключевые параметры выявленного инструментария.
| Параметр | Описание |
|---|---|
| Тип угрозы | Full-chain exploit (цепочка эксплойтов) |
| Вектор атаки | Drive-by download (через браузер Safari) |
| Версии ОС | iOS 18.4 – 18.7 (исправлено в 26.3) |
| Основной язык | JavaScript / C++ |
| Ключевые уязвимости | CVE-2025-31277, CVE-2026-20700 и др. |
| Целевые данные | Мессенджеры, Криптовалюты, Геолокация |
Рекомендации по безопасности
Компания Apple уже отреагировала на инцидент, выпустив обновление iOS 26.3, в котором закрыты все критические бреши, используемые в DarkSword. Однако эксперты предупреждают, что в мире остаются сотни миллионов устройств на базе старых версий ПО, владельцы которых находятся в зоне риска. Для защиты рекомендуется немедленно обновить операционную систему до актуальной версии. В случаях, когда обновление невозможно, специалисты советуют активировать «Режим блокировки» (Lockdown Mode), который существенно ограничивает функциональность веб-браузера, блокируя сложные скрипты и предотвращая активацию подобных цепочек взлома.
