הפגיעות המכונה חרב אפלה זה הפך לאחד מאירועי האבטחה החמורים ביותר שפגעו לאחרונה באייפונים. חוקרים מגוגל, iVerify ו-Lookout תיעדו כיצד קבוצה זו של פרצות ללא קליקים זה מאפשר להשתלט על מכשירים עם iOS 18 פשוט על ידי טעינת דף אינטרנט נגוע, מבלי שהאדם יצטרך ללחוץ על משהו או לפתוח קישורים חשודים.
המקרה הפעיל נורות אזהרה בקהילת הסייבר האירופית, מכיוון מאות מיליוני אייפונים גרסאות פגיעות של iOS 18 עדיין פועלות ברחבי העולם. למרות שאפל כבר פרסמה תיקונים ותיקוני חירום, אימוץ הגרסאות האחרונות איטי מהצפוי, בין היתר בשל ספקות לגבי האופן שבו... לנהל שטח, אשר שומר על משטח התקפה ניכר גם באירופה וגם בשווקים אחרים.
מה זה בדיוק DarkSword ולמה זה גורם כל כך הרבה דאגה?
חרב האפלה אינה פגם בודד פשוט, אלא ערכת התקפה מלאה עבור iOS נועד לפגוע באייפונים ללא התערבות המשתמש. ניתוח טכני מראה שהכלי מסתובב סביב שש פגיעויות אפס-יום לעבור מדפדפן ספארי לליבת מערכת ההפעלה עצמה, תוך קבלת הרשאות מספיקות כדי לגשת כמעט לכל המידע במכשיר.
הקמפיין המקורי זוהה ב עשרות אתרים אוקראינים לגיטימיים שעברו מניפולציה. גישה פשוטה לאחד מאותם דפים מאייפון נגוע הספיקה כדי להפעיל את שרשרת הניצול ברקע. משם, DarkSword יכלה לקרוא הודעות iMessage, WhatsApp וטלגרם, לסקור היסטוריית גלישה, לצפות בהערות, באירועי לוח שנה או אפילו לגשת לרשומות מאפליקציית הבריאות של אפל.
אחד האלמנטים שמדאיגים ביותר את החוקרים הוא שהמתקפה נפרסה בקנה מידה גדול ולא רק נגד מטרות בעלות פרופיל גבוה. על פי נתונים שנאספו על ידי iVerify ו-Lookout, בין 220 ל-270 מיליון אייפונים הם ממשיכים להשתמש בגרסאות פגיעות של iOS 18, שבפועל מייצגות כ-14-25% מצי האייפון הפעיל.
יתר על כן, DarkSword מסתמך על ארכיטקטורה של מודולים לאחר ניצול - המכונים על ידי אנליסטים בשמות קוד כגון להב גוסט, אולר גוסט או חרב גוסט— האחראים על איסוף ואריזת מידע גנוב בזמן קצר מאוד, דבר אטרקטיבי במיוחד עבור קמפיינים של ריגול ו גניבת קריפטוגרפיה.
כיצד פועלת ההתקפה: מספארי ועד ליבת iOS
DarkSword פועל על ידי ניצול שרשרת של פגיעויות אבטחה המקושרות זו אחר זו. נקודת הכניסה העיקרית היא דפדפן ספארי או כל רכיב שמעבד תוכן אינטרנט. כאשר דף פרוץ נטען, מבוצע קוד שתוכנן במיוחד כדי לנצל פגיעויות במנוע ה-JavaScript וברכיבי דפדפן אחרים.
לאחר שהשלב הראשון מצליח, הניצול מתקדם לשכבות עמוקות יותר של המערכת, תוך ניצול פגיעויות נוספות עד שהוא משיג... ביצוע קוד עם הרשאות מוגברותעם רמת גישה כזו, התוקף יכול לקרוא מסדי נתונים פנימיים, לחלץ מחזיקי מפתחות של סיסמאות, לסקור שיחות ולעיין בקבצים שבדרך כלל מוגנים אפילו מאפליקציות של המשתמש עצמו.
הגישה היא מהסוג ללא קבציםבמילים אחרות, DarkSword נמנע מהתקנת יישומים גלויים או קבצים מתמידים. במקום זאת, הוא חוטף תהליכי מערכת הפעלה, מבצע פקודות זדוניות מהזיכרון ומוחק את כל העקבות תוך דקות. התנהגות "פגע וברח" זו מקשה ביותר על הזיהוי, אפילו עבור פתרונות מיוחדים, מכיוון שלאחר הפעלה מחדש של הטלפון, כמעט ואין סימנים ברורים לפריצה.
שיטת פעולה זו מזכירה טכניקות קלאסיות המשמשות במתקפות מחשב מתקדמות, אך מותאמות למערכת האקולוגית של אפל. למעשה, החוקרים מדגישים כי לא נצפו סימנים רגילים של תוכנות ריגול מקומיותזה משנה משמעותית את כללי המשחק עבור אלו שרגילים לחפש אפליקציות חשודות במכשיר שלהם.
גרסאות iOS מושפעות והישג עולמי
הגלים הראשונים של DarkSword כוונו בעיקר אל אייפונים עם iOS 18דוחות מגוגל, Lookout ו-iVerify מצביעים באופן עקבי על גרסאות בין iOS 18.4 ו-iOS 18.6.2 כפגיעות הברורה ביותר מבין הקמפיינים שזוהו. חלק מהניתוחים מזכירים גם את התיקון החלקי ב-iOS 18.7.2, בעוד שאחרים מציינים את הסגירה המלאה של הפגיעות ב-iOS 26 ואילך.
בכל מקרה, התמונה המצוירת מהנתונים ברורה: מספר גדול מאוד של מכשירים עדיין מריץ את iOS 18הסיבה לכך היא שבעליהם לא שדרגו לגרסאות העדכניות ביותר או שהם מעדיפים להימנע משינויי ממשק. מצב זה משפיע לא רק על משתמשים באזורי סכסוך, אלא גם על מיליוני אנשים באיחוד האירופי ובספרד המשתמשים באייפונים שלהם מדי יום לצורך בנקאות, זיהוי דיגיטלי או חתימות אלקטרוניות.
חוקרים תיעדו את השימוש ב-DarkSword לפחות מאז בסוף 2025למרות שהתגלית הראשונית התרחשה בשטחים אוקראינים, עד מהרה התגלו קמפיינים נגד מטרות ב[לא צוין]. ערב הסעודית, טורקיה ומלזיהבכמה מהמקרים הללו, הניצול הוטמע באתרים לגיטימיים, כגון פורטלי חדשות או אתרים אדמיניסטרטיביים, תוך ניצול המוניטין הטוב שלהם כדי לחמוק מעיניהם.
באירופה, הסיכון עקיף יותר אך לא פחות משמעותי: כל משתמש שמבקר בדפים פרוצים המאוחסנים מחוץ לאירופה, או שמתחבר דרך רשתות בינלאומיות, עלול בסופו של דבר להוריד את הקוד הזדוני. יתר על כן, העובדה ש-DarkSword היא ערכה רב פעמית מגדילה את הסבירות שהיא תשתלב בסופו של דבר ב-[לא ברור/לא ברור]. קמפיינים רחבים יותר של פשעי סייבר, כולל אלה שמטרתם גניבת חשבונות בנק מקוונים וארנקי מטבעות קריפטוגרפיים המשמשים אזרחים אירופאים.
מי עומד מאחורי DarkSword ומה הקשר שלהם עם קורוניה?
מרכיב מפתח להבנת ההשפעה של DarkSword הוא ההקשר שלה. מוקדם יותר החודש, אותו צוות של גוגל ו-iVerify פרסם ערכת תקיפה ברמה גבוהה נוספת המכונה קורונהמסוגל לפגוע באייפונים מ-iOS 13 עד iOS 17.2.1 באמצעות 23 פגיעויות משורשרות. שתי חבילות הפריצה הופיעו על אותה תשתית שרתיםזה מצביע על מקור משותף, או לפחות על שיתוף פעולה בין מספר גורמים.
חלק ממאגר הנשק הזה מקורו ככל הנראה בשוק ניצול טכנולוגיות ברמה ממשלתית. חקירות קודמות מצטטות את המקרה של חבר לשעבר בחטיבת טרנצ'נט, השייך לחברת הקבלן הביטחוני L3Harris, שהודה כי היה ברשותו מכר סדרה של פגיעויות למתווך רוסי המכונה מבצע אפס. משם, שרשראות הניצול היו עוברות מידי המדינה לקבוצות פשע פחות קפדניות.
במקרה של DarkSword, גוגל טוענת שצפתה בשימוש בו על ידי ספקי מעקב מסחריים ועל ידי האקרים לכאורה המקושרים לסוכנויות מודיעין ממלכתיות. אחד הקמפיינים כולל ספציפית את PARS Defense, חברת מעקב מסחרית טורקית, במתקפות המכוונות למקומות בטורקיה ובמלזיה.
קישורים לרוסיה קיימים גם כן. חלק מהקוד נפרס ב אתרים אוקראינים שנפגעווהחוקרים מדברים על מפעילים הקשורים לאינטרסים רוסיים שלכאורה השתמשו בניצול מחדש כדי לשלב ריגול פוליטי ורווח כספי. הפרט הבולט ביותר הוא שקוד DarkSword הופיע בכמה שרתים. ללא ערפול ועם הערות הסבר באנגליתזה מקל על גורמים זדוניים אחרים להעתיק אותו, להתאים אותו ולהשיק קמפיינים חדשים.
ההשקה הכמעט בו-זמנית של Coruna ו-DarkSword ממחישה את המידה שבה שוק כלי הפריצה של iOS משתנה. מה שבעבר היה "כלי צלפים" שמורים לפעולות ממוקדות נגד מטרות ספציפיות הופך כעת ל... ארסנל של שימוש המוני, עם פוטנציאל להשגה המשתרע הרבה מעבר למעגלים דיפלומטיים או צבאיים.
איזה מידע DarkSword יכול לגנוב מאייפון?
דוחות טכניים מסכימים כי ל-DarkSword יש יכולת לחלץ מגוון רחב מאוד של נתונים רגישים. לאחר השלמת הפריצה, מודולים לאחר הניצול יכולים לגשת ל... סיסמאות מאוחסנות, אסימוני אימות ופרטי אישור של שירותי ענןאלה כוללים חשבונות דוא"ל, מדיה חברתית וגישה לשירותים פיננסיים.
בתחום התקשורת, הערכה מוכנה לאיסוף הודעות ויומנים מ-iMessage, WhatsApp ו-Telegramכמו גם אפליקציות מסרים אחרות המסתמכות על אותם מסדי נתונים פנימיים. זה מאפשר שחזור של שיחות קודמות, קבלת מספרי טלפון ומטא-דאטה על מי מדברים איתו ובאיזו תדירות.
DarkSword מכוון גם להיבטים האישיים יותר של המכשיר: תמונות, סרטונים, היסטוריית גלישה, הערות, לוח שנה ונתוני אפליקציית בריאותזו אינה רק סוגיית פרטיות מופשטת; במקרים רבים, נתונים אלה מאפשרים יצירת פרופילים של שגרות יומיומיות, הרגלים, מיקום משוער ואפילו מידע על מצב בריאותי, דבר רגיש במיוחד תחת תקנות הגנת המידע האירופיות המחמירות.
מטרה בעדיפות עליונה היא ארנקי קריפטו ונכסים דיגיטליים אחריםהנוזקה מכוונת ספציפית לאישורים ומפתחות הקשורים לארנקים, פלטפורמות החלפת כספים ויישומים פיננסיים. חוקרים תיעדו קמפיינים שבהם מפעילי DarkSword השתמשו באתרי הונאה של מטבעות קריפטוגרפיים כדי להקל על גניבת כספים, ובכך שילבו ריגול ופשיעה פיננסית.
כל זה נעשה במסגרת זמן קצרה יחסית. העיצוב "ללא קבצים" מאפשר התקפות מהירות, שבהן תוכנות הריגול אוספות כמה שיותר מידע בדקות הראשונות לאחר ההדבקה ואז... מנקה חלק ניכר מטביעות הרגליים שלוזה מפחית את הסבירות שהמשתמש יבחין במשהו חריג בהתנהגות הטלפון.
אמצעי הגנה: עדכונים, מצב בידוד ושיטות עבודה מומלצות
מול ניצול לרעה בסדר גודל כזה, קו ההגנה העיקרי הוא, פשוט כפי שזה נשמע, שמרו על האייפון שלכם מעודכןאפל תיקנה את הפגיעויות הבסיסיות בכמה סבבים: תחילה עם עדכוני אבטחה ספציפיים עבור iOS 18, לאחר מכן עם תיקונים כמו iOS 18.7.2, ולבסוף, סגירת הפערים בסדרת iOS 26 העדכנית יותר.
בפועל, ההמלצה לכל משתמש בספרד או בשאר אירופה היא לגשת הגדרות> כללי> עדכון תוכנה ולוודא שהמכשיר מריץ את הגרסה העדכנית ביותר הזמינה עבור הדגם שלו. אם ניתן לעדכן את האייפון ל-iOS 26, עדיף לעשות זאת בהקדם האפשרי. עבור מכשירים שעדיין מריצים iOS 18, חיוני להתקין את כל תיקוני האבטחה שפורסמו על ידי אפל.
שכבת הגנה רלוונטית נוספת היא מצב נעילהמצב זה, שתוכנן בתחילה עבור משתמשים בסיכון גבוה - עיתונאים, פעילים, פקידי ציבור - הוכח כיעיל בחסימה או לפחות בפגיעה משמעותית ברשתות ניצול כמו אלו המשמשות את DarkSword ו-Coruna. למעשה, חלק מהערכות הללו בוחרות לבטל את הפריצה אם הן מזהות שהמכשיר נמצא במצב זה, על מנת להימנע מהשארת עקבות שיכולות להקל על החקירה.
מעבר לעדכונים ותכונות מתקדמות, ישנן מספר שיטות עבודה מומלצות שנותרו בתוקף. למרות שבקמפיין הספציפי הזה אין צורך ללחוץ על קישורים מוזרים כדי להימנע מהדבקה, מומלץ להגביל את החשיפה על ידי ביקור באתרים מהימנים בלבד, הימנעות מרשתות Wi-Fi ציבוריות לא מוצפנות, ובדיקה קבועה של הגדרות הפרטיות והאבטחה של המערכת.
עבור משתמשים המטפלים בכמויות גדולות של נתונים רגישים או נכסים דיגיטליים, ייתכן שיהיה הגיוני להסתמך על כלי ניטור ייעודיים כמו אלו המוצעות על ידי חברות בתחום אבטחת המובייל. הם אינם פתרון קסם - במיוחד לא עם התקפות חשאיות כאלה - אך הם יכולים לסייע בזיהוי התנהגות חריגה או תצורות פגיעות.
מקרה DarkSword שימש גם כתזכורת לבעלי אייפון רבים באירופה שאבטחה ישירה מהקופסה אינה חסינת תקלות. iOS נותרה אחת מפלטפורמות הניידות החזקות ביותר, אך איומים ברמת המדינה ושווקי ניצול עתירי תקציב הם מגיעים לרמת תחכום הדורשת זהירות קיצונית ולקיחת עדכוני אבטחה ברצינות רבה.
