Nove analize Googlea, iVerifyja i Lookouta otkrivaju da cyberkriminalci koriste špijunske alate Coruna i DarkSword za napade na iPhone uređaje širom svijeta, iskorištavajući rijetke ranjivosti i šireći ciljeve daleko izvan državnih aktera. Istraživači navode da cyberkriminalne grupe danas koriste sofisticirane špijunske alate, nekada rezervisane uglavnom za obavještajne službe i policiju, kako bi provalile u iPhone uređaje i izvukle lične podatke korisnika.
Riječ je o špijunskom softveru koji može pristupiti porukama, fotografijama, bilješkama i podacima iz kalendara, pretvarajući svaki iPhone u potencijalno metu invazivnog nadzora.
Tokom proteklog mjeseca timovi Googlea, iVerifyja i Lookouta otkrili su dvije odvojene kampanje iskorištavanja ranjivosti iOS-a. Googleovi istraživači identificirali su napredni hakerski komplet za iPhone, nazvan Coruna, koji je prvobitno razvijen za neimenovanog državnog kupca, a zatim završio u rukama kineske sajberkriminalne grupe. Prema kasnijim navodima, špijunski softver Coruna razvila je kompanija L3Harris za potrebe vlade SAD-a.
Hakeri su Corunu postavljali na lažne kineskojezične kripto i finansijske platforme, tako da su ranjivi iPhone uređaji bivali zaraženi samim posjetama tim stranicama, bez potrebe za klikovima ili preuzimanjima.
Na istom serveru istraživači su otkrili i drugi komplet za hakovanje iPhonea, nazvan DarkSword, sposoban da trenutno inficira uređaje koji posjete određeni skup web stranica, uključujući ukrajinske informativne i vladine portale, u sklopu takozvanog "watering hole napada".
DarkSword je povezan s hakerskom grupom sa sjedištem u Rusiji, iako nije jasno da li je ta grupa direktno vezana za neku državnu agenciju ili djeluje kao posrednička kriminalna organizacija. Jednom kada dospije na uređaj, DarkSword prema navodima iVerifyja izvlači gotovo sve: poruke iz aplikacija iMessage, WhatsApp i Telegram, podatke o lokaciji, kontakte, historiju poziva, WiFi konfiguracije, historiju pregledavanja i kolačiće.
Iako je DarkSword u zabilježenoj kampanji ciljao posjetioce ukrajinskih web stranica, istraživači Lookouta ističu da su njegovi tvorci ostavili osnovni JavaScript kod na serveru neobskrivenim, što znači da bi ga čak i manje iskusni sajberkriminalci mogli kopirati i ponovo iskoristiti za mnogo širi spektar meta.
Kompanija Apple, preko svoje glasnogovornice Sarah O'Rourke, poručuje da je već zakrpila temeljne iOS ranjivosti na koje ovi špijunski alati ciljaju, kroz nove verzije operativnog sistema objavljene posljednjih godina. Prošle sedmice Apple je objavio i hitno softversko ažuriranje za starije uređaje koji ne mogu instalirati najnovije verzije iOS-a, a pregledač Safari sada blokira zlonamjerne domene koje su identifikovali Googleovi istraživači.
Stručnjaci skreću pažnju da su alati ovog tipa, zasnovani na rijetkim i vrijednim ranjivostima iPhonea, nekada bili dostupni gotovo isključivo dobro finansiranim državnim kupcima. Takvi kompleti su godinama korišteni za nadzor aktivista, novinara i stranih političara, ali sada sve češće završavaju i u rukama kriminalnih grupa, spuštajući tehnički prag za pokretanje napada i šireći krug potencijalnih meta.
iVerifyjev suosnivač i operativni direktor Rocky Cole upozorava da je "ogroman priliv ulaganja u komercijalne dobavljače špijunskog softvera stvorio čitav ekosistem mobilne eksploatacije, zbog čega su ovakvi alati, iskreno rečeno, postali obilni". On dodaje da najnovija istraživanja dovode u pitanje percepciju iPhonea kao izuzetno sigurnih uređaja: prema njegovim riječima, "svaki korisnik iPhonea sada mora brinuti o ovome".
Appleova predstavnica O'Rourke ističe da su "Appleovi uređaji dizajnirani s više slojeva sigurnosti kako bi zaštitili od širokog spektra potencijalnih prijetnji" te da "Appleovi sigurnosni timovi širom svijeta neumorno rade kako bi zaštitili uređaje i podatke korisnika". Ipak, otkrića alata Coruna i DarkSword pokazuju da i pored ovakvih mehanizama zaštite sofisticirani napadači i dalje pronalaze načine da zaobiđu sigurnosne barijere.
Prema procjeni iVerifyja, Appleov sigurnosni režim Lockdown Mode, namijenjen suzbijanju špijunskih infekcija, spriječio bi samo pojedine elemente napada DarkSwordom, ali bi u potpunosti blokirao Corunu, koja je dizajnirana da se zaustavi ako je Lockdown Mode uključen.
Ipak, i uz ovu zaštitu ne postoji besprijekorna odbrana od tzv. "watering hole" napada, pa Albrecht preporučuje da korisnici redovno ažuriraju uređaje, uključe Lockdown Mode gdje je moguće i koriste nezavisne sigurnosne alate za mobilne telefone. Kako kaže, "to su odlični koraci koje možete poduzeti, ali nažalost, kao korisnik vrlo malo možete učiniti čak i da otkrijete da se ovakav napad događa".
