Twój iPhone jest w niebezpieczeństwie. Eksperci ostrzegają przed DarkSword

Przekonanie, że ekosystem Apple gwarantuje niemal doskonałą ochronę przed atakami, zostało właśnie poddane surowemu testowi. Badacze bezpieczeństwa informują o złożonym łańcuchu exploitów DarkSword, który umożliwia przejęcie pełnej kontroli nad urządzeniami z iOS bez jakiejkolwiek interakcji ze strony właściciela poza odwiedzeniem zainfekowanej witryny.

Nowa era cyfrowego szpiegostwa

DarkSword został niezależnie odkryty i przeanalizowany przez zespoły Google Threat Intelligence Group, Lookout oraz iVerify. Eksperci potwierdzili, że narzędzie skutecznie atakuje iOS w wersjach 18.4–18.7, wykorzystując tzw. full-chain exploit, czyli kombinację odrębnych luk pozwalających ominąć kolejne warstwy ochrony – od piaskownicy po uprawnienia jądra.

Łańcuch zawiera sześć niepowiązanych podatności, które dopiero połączone umożliwiają pełne przejęcie urządzenia: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 oraz CVE-2025-43520. Taki zestaw pozwala najpierw uzyskać zdalne wykonanie kodu, następnie eskalować uprawnienia, a finalnie obejść mechanizmy ochrony pamięci.

Według szacunków analityków potencjalnie zagrożonych jest ponad 200 milionów iPhone’ów. Sygnałem alarmowym dla specjalistów było to, że luki zostały wykryte jeszcze przed ich publicznym ujawnieniem, co świadczy o istnieniu aktywnego rynku handlu exploitami zero-day oraz o wysokich budżetach grup, które z nich korzystają.

Szybkość i dyskrecja

Model operacyjny DarkSword został określony przez badaczy mianem „hit-and-run”. Atak nie zakłada długoterminowego utrzymywania się w systemie ani rozbudowanej infrastruktury typu command-and-control. Zamiast tego złośliwy kod zbiera interesujące dane – hasła, klucze kryptograficzne, historię komunikatorów – i natychmiast transferuje je poza urządzenie.

Aby utrudnić wykrycie, komponenty odpowiedzialne za eksfiltrację usuwają się automatycznie po restarcie telefonu. W praktyce oznacza to brak łatwo zauważalnych procesów w tle, minimalne ślady w logach oraz trudność w późniejszej analizie śledczej. Użytkownik nie otrzymuje żadnych komunikatów o awarii ani nietypowym zachowaniu, a cały incydent trwa zwykle zaledwie kilka minut.

Ta taktyka skutecznie omija narzędzia wykrywające anomalię w czasie rzeczywistym – większość rozwiązań MDM czy popularnych aplikacji security monitoruje długotrwałe połączenia z serwerami atakującego, a nie błyskawiczne wysyłanie zaszyfrowanego pakietu danych i natychmiastową autodestrukcję kodu.

Mechanizm ataku i globalny zasięg kampanii

DarkSword rozprzestrzeniany jest głównie poprzez tzw. watering-hole attacks: przestępcy infekują popularne strony odwiedzane przez wybraną grupę docelową. Analiza telemetrii wykazała obecność kampanii w Ukrainie, Turcji, Arabii Saudyjskiej oraz Malezji, przy czym poszczególne serwery wykorzystywane do ataków zlokalizowano w kilkunastu centrach danych na trzech kontynentach.

Operację przypisuje się grupie oznaczonej roboczo jako UNC6353, którą część branży łączy z rosyjskimi służbami wywiadowczymi. Co istotne, pewne elementy kodu DarkSword pokrywają się z wcześniejszym oprogramowaniem szpiegowskim Coruna, co potwierdza teorię o współdzieleniu narzędzi między podmiotami państwowymi a komercyjnymi brokerami exploitów.

Zjawisko to wpisuje się w szerszy trend demokratyzacji rynku zero-day. Jeszcze kilka lat temu pełne łańcuchy na iOS wyceniano na miliony dolarów i były dostępne wyłącznie dla wywiadów państwowych. Dziś pojawiają się w ofertach firm zajmujących się „rozwiązaniami do legalnej inwigilacji”, co znacząco zwiększa ryzyko masowego wykorzystania podobnych narzędzi.

Apple opublikowało już aktualizacje usuwające wszystkie podatności w najnowszej wersji systemu. Użytkownikom zaleca się niezwłoczne sprawdzenie sekcji „Ustawienia → Ogólne → Uaktualnienia” i instalację poprawek bezpieczeństwa, ponieważ tylko najnowsze oprogramowanie uniemożliwia przeprowadzenie ataku DarkSword.