Apple начала выводить на экран блокировки iPhone и iPad, работающих на устаревших версиях iOS и iPadOS, срочные системные уведомления о необходимости обновления. Компания прямо предупреждает пользователей о реальных атаках через веб-контент, нацеленных на неактуальные версии операционной системы.
Суть предупреждения Apple: что происходит и кому стоит волноваться
На устройствах с неподдерживаемыми или давно не обновлявшимися версиями iOS появилось уведомление вида: «Apple известно об атаках, нацеленных на устаревшее программное обеспечение iOS, включая версию на вашем iPhone. Установите это критически важное обновление для защиты устройства». Сообщение выводится поверх экрана блокировки, что показывает высокий приоритет проблемы для экосистемы Apple.
За неделю до начала рассылки таких оповещений компания опубликовала отдельный документ поддержки, где рекомендовала владельцам устройств на старых версиях iOS и iPadOS как можно скорее обновиться. Причина — появление новых эксплойт-китов для iOS, получивших названия Coruna и DarkSword, которые используются в реальных атаках через скомпрометированные веб-сайты.
Эксплойт-киты Coruna и DarkSword: как атакуют iPhone и iPad
Эксплойт-кит — это набор готовых эксплойтов, позволяющий злоумышленникам автоматизировать заражение устройств при посещении жертвой вредоносной или взломанной страницы. Пользователю достаточно просто открыть такой сайт в браузере — дальше атака выполняется без дополнительных действий с его стороны.
По данным исследователей, Coruna нацелен на широкий диапазон версий iOS — примерно от 13.0 до 17.2.1. DarkSword спроектирован для эксплуатации уязвимостей на более новых релизах, описываемых как версии между 18.4 и 18.7. В течение последнего года эти наборы использовались разными группами — от киберпреступников до более продвинутых акторов — для доставки вредоносных загрузчиков и шпионского ПО через веб-браузер.
Связь Coruna с операцией Triangulation
Компания Kaspersky связала Coruna с ранее раскрытой шпионской кампанией Operation Triangulation, которая стала известна летом 2023 года. Тогда злоумышленники применяли сложные zero-click-эксплойты для iMessage, позволяя компрометировать iPhone без каких-либо действий со стороны пользователя.
По словам исследователей, Coruna не является набором случайных публичных эксплойтов. Это логичное продолжение и эволюция исходного фреймворка Operation Triangulation, который систематически дорабатывается и поддерживается. Это указывает на наличие ресурсов и компетенций у разработчиков, сопоставимых с возможностями государственных или квазигосударственных структур.
Рынок нулевых дней и «демократизация» атак на iOS
Пока неизвестно, как именно эксплойт-киты Coruna и DarkSword оказались в распоряжении сразу нескольких групп злоумышленников. Исследования в области кибербезопасности указывают на возможное существование рынка «вторичных» zero-day и one-day эксплойтов, когда изначально дорогие уязвимости, разработанные для спецслужб или наемных шпионских компаний, спустя время перепродаются другим участникам.
Появление таких наборов, а также утечки более новых версий DarkSword, вызывают обеспокоенность экспертов: инструменты, которыми раньше располагали преимущественно государства, постепенно становятся доступными более широкому кругу акторов. Это повышает риск масштабных, массовых атак на iPhone и iPad, а мобильные устройства превращаются в значительно более привлекательную и уязвимую цель.
Как защитить iPhone и iPad: обновления и Lockdown Mode
Первый и главный шаг защиты — немедленно установить доступные обновления iOS или iPadOS. Это особенно актуально, если устройство давно не обновлялось или работает на версии, которая больше не поддерживается. Игнорирование системных уведомлений в текущей ситуации фактически означает осознанный риск компрометации.
Пользователям, которые по техническим причинам не могут перейти на актуальную версию (например, из‑за устаревшей модели устройства), Apple рекомендует по возможности включить режим повышенной защиты Lockdown Mode. Этот режим появился в 2022 году и доступен для устройств на iOS 16 и новее.
Lockdown Mode значительно ограничивает обработку потенциально опасного контента: урезает функциональность в браузере, блокирует определенные вложения и ссылки, снижает поверхность атаки за счет отключения ряда функций, которые часто используются в сложных целевых кампаниях. Apple заявляет, что ей не известно ни об одном успешном случае атаки шпионского ПО на устройство с активированным Lockdown Mode, что делает этот режим важным инструментом защиты для журналистов, правозащитников, сотрудников критически важных организаций и всех, кто находится в зоне повышенного риска.
Дополнительно рекомендуется включить автоматическую установку обновлений, избегать установки сторонних конфигураций профилей и не использовать джейлбрейк — это резко увеличивает атакующую поверхность. Организациям стоит контролировать состояние мобильных устройств через MDM и оперативно применять патчи безопасности.
Атаки с использованием Coruna, DarkSword и аналогичных эксплойт-китов показывают, что даже экосистема Apple, традиционно воспринимаемая как более защищенная, становится объектом все более массовых и технологичных атак. Регулярное обновление iOS, внимательное отношение к системным предупреждениям и, при необходимости, использование Lockdown Mode — ключевые шаги, которые каждый владелец iPhone и iPad может сделать уже сейчас. Чем быстрее пользователи и организации выстраивают базовую кибергигиену, тем сложнее злоумышленникам превращать новые уязвимости в масштабное оружие.
