Bộ khai thác DarkSword bị rò rỉ có thể tấn công hàng triệu iPhone

Rò rỉ công khai bộ công cụ khai thác, có thể hack hàng triệu iPhone

Tuần trước, các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công nhắm vào người dùng iPhone bằng một công cụ hack tiên tiến có tên DarkSword. Giờ đây, ai đó đã rò rỉ một phiên bản mới hơn của DarkSword và công bố nó trên trang chia sẻ mã GitHub. Các nhà nghiên cứu cảnh báo rằng điều này sẽ cho phép bất kỳ hacker nào dễ dàng sử dụng các công cụ này để nhắm mục tiêu vào người dùng iPhone đang chạy các phiên bản hệ điều hành cũ hơn của Apple, những người chưa cập nhật lên phần mềm iOS 26 mới nhất. Điều này có khả năng ảnh hưởng đến hàng trăm triệu iPhone và iPad đang được sử dụng, theo dữ liệu của chính Apple về các thiết bị lỗi thời.

"Đây là một điều tồi tệ. Chúng quá dễ dàng để tái sử dụng," Matthias Frielingsdorf, đồng sáng lập của startup bảo mật di động iVerify, nói với TechCrunch hôm thứ Hai. "Tôi không nghĩ rằng điều này có thể được ngăn chặn nữa. Vì vậy, chúng ta cần dự kiến tội phạm và những người khác bắt đầu triển khai nó."

Frielingsdorf cho biết các phiên bản phần mềm gián điệp DarkSword mới này có chung cơ sở hạ tầng với những phiên bản mà anh và các đồng nghiệp iVerify của mình đã phân tích trước đây, mặc dù các tệp hơi khác nhau. Các tệp được tải lên GitHub rất đơn giản, chỉ là HTML và JavaScript, anh nói, có nghĩa là bất kỳ ai cũng có thể sao chép và dán chúng và lưu trữ chúng trên một máy chủ "trong vài phút đến vài giờ".

"Các khai thác sẽ hoạt động ngay lập tức," Frielingsdorf nói. "Không cần chuyên môn về iOS."

Kimberly Samra, người phát ngôn của Google, công ty trước đây đã phân tích khai thác DarkSword, cho biết các nhà nghiên cứu của công ty đồng ý với đánh giá của Frielingsdorf.

Liên hệ

Bạn có thêm thông tin về Darksword, Coruna hoặc các công cụ gián điệp và hack của chính phủ khác không? Từ một thiết bị không phải thiết bị làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382, hoặc qua Telegram, Keybase và Wire @lorenzofb, hoặc qua email.

Một người có sở thích bảo mật với biệt danh matteyeux cũng nói với TechCrunch rằng việc sử dụng các mẫu DarkSword bị rò rỉ là rất dễ dàng. Matteyeux đã viết trong một bài đăng trên X hôm thứ Hai rằng anh ta đã có thể hack một máy tính bảng iPad mini chạy iOS 18, thế hệ hệ điều hành trước đó dễ bị tấn công bởi DarkSword, bằng cách sử dụng mẫu DarkSword "ngoài đời thực" đang lan truyền trên mạng.

Apple cho biết họ biết về việc khai thác nhắm mục tiêu vào các thiết bị chạy hệ điều hành cũ và lỗi thời, và đã phát hành một bản cập nhật khẩn cấp vào ngày 11 tháng 3 cho các thiết bị không thể chạy các phiên bản iOS gần đây.

Người phát ngôn của Apple, Sarah O’Rourke, nói với TechCrunch rằng công ty đã biết về việc khai thác nhắm mục tiêu vào các thiết bị chạy hệ điều hành cũ và lỗi thời, đồng thời đã phát hành bản cập nhật khẩn cấp vào ngày 11 tháng 3 cho các thiết bị không thể chạy các phiên bản iOS gần đây.

"Giữ cho phần mềm của bạn được cập nhật là điều quan trọng nhất bạn có thể làm để duy trì tính bảo mật cho các sản phẩm Apple của mình," O’Rourke nói, đồng thời cho biết thêm rằng các thiết bị có phần mềm được cập nhật không gặp rủi ro từ các cuộc tấn công được báo cáo này và Chế độ Khóa cũng sẽ chặn các cuộc tấn công cụ thể này.

Người phát ngôn của Microsoft, công ty sở hữu GitHub, đã không trả lời ngay lập tức yêu cầu bình luận. Mã này, mà TechCrunch không liên kết đến vì nó có thể được sử dụng trong các cuộc tấn công đang diễn ra, chứa một số nhận xét mô tả cách thức hoạt động của các khai thác và cách triển khai chúng. Một nhận xét, có khả năng được viết bởi một trong những nhà phát triển đã làm việc trên DarkSword, cho biết rằng khai thác này "đọc và trích xuất các tệp liên quan đến pháp y từ các thiết bị iOS qua HTTP," đề cập đến việc đánh cắp thông tin từ iPhone hoặc iPad của một người và gửi dữ liệu qua internet đến một máy chủ do kẻ tấn công kiểm soát.

"Tải trọng này nên được đưa vào một quy trình có quyền truy cập vào hệ thống tệp," nhận xét viết. Trong một trường hợp, mã tham khảo "hoạt động sau khai thác" và mô tả quy trình sau khi phần mềm độc hại đã có quyền truy cập vào điện thoại của một người và lấy nội dung của nó, bao gồm danh bạ, tin nhắn, lịch sử cuộc gọi và chuỗi khóa iOS, nơi lưu trữ mật khẩu Wi-Fi và các bí mật khác và đổ chúng vào một máy chủ từ xa.

Một tệp khác chứa các tham chiếu đến việc tải dữ liệu lên một trang web bán quần áo nổi tiếng của Ukraine, mặc dù TechCrunch không thể xác định ngay lý do. DarkSword bị cáo buộc đã được các hacker chính phủ Nga sử dụng để chống lại các mục tiêu của Ukraine. Phần mềm gián điệp cụ thể này hoạt động đặc biệt chống lại iPhone và iPad chạy iOS 18, theo iVerify, Google và Lookout, những công ty cũng đã phân tích phần mềm độc hại DarkSword trước đó.

Theo số liệu của chính Apple, khoảng một phần tư tổng số người dùng iPhone và iPad vẫn đang chạy iOS 18 trở về trước trên thiết bị của họ. Với hơn 2,5 tỷ thiết bị đang hoạt động, điều đó có thể tương đương với hàng trăm triệu người có thiết bị dễ bị tấn công DarkSword. Đó là lý do tại sao Frielingsdorf khuyên mọi người nên nâng cấp hệ điều hành iPhone của họ.

Việc phát hiện ra DarkSword chỉ diễn ra vài tuần sau khi các nhà nghiên cứu phát hiện ra một bộ công cụ hack iPhone tiên tiến khác có tên là Coruna. Như TechCrunch đã báo cáo, Coruna ban đầu được phát triển bởi nhà thầu quốc phòng L3Harris, mà bộ phận Trenchant của nó tạo ra các công cụ hack cho chính phủ Hoa Kỳ và các đồng minh của họ.

Lorenzo Franceschi-Bicchierai là Nhà văn cao cấp tại TechCrunch, nơi anh đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư.