Apple почала виводити на екран блокування iPhone та iPad, що працюють на застарілих версіях iOS та iPadOS, термінові системні попередження із закликом негайно оновити операційну систему. Причина — реальні атаки через веб-контент, які цілеспрямовано експлуатують неактуальні збірки iOS.
Apple показує критичні попередження власникам застарілих iPhone та iPad
На пристроях із давно не оновлюваним або вже непідтримуваним ПЗ з’являється повідомлення на кшталт: «Apple відомо про атаки, спрямовані на застаріле програмне забезпечення iOS, включно з версією на вашому iPhone. Встановіть це критично важливе оновлення для захисту пристрою». Повідомлення накладається поверх екрана блокування, що підкреслює високий пріоритет проблеми для екосистеми Apple.
За кілька днів до старту такої розсилки Apple опублікувала окрему сторінку підтримки з рекомендацією користувачам якнайшвидше перейти на актуальні версії iOS та iPadOS. Формальне пояснення — поява нових експлойт-китів для iOS, відомих під назвами Coruna та DarkSword, які вже застосовуються в атаках через скомпрометовані веб-сайти.
Експлойт-кити Coruna та DarkSword: як працює нова хвиля атак
Експлойт-кит — це набір автоматизованих експлойтів, який зловмисники розгортають на шкідливих або зламаних сайтах. Користувачу достатньо просто відкрити сторінку у браузері (Safari чи іншому), після чого набір перевіряє версію iOS та намагається використати відповідні уразливості без додаткових дій з боку жертви.
За даними дослідників, Coruna орієнтована на широкий діапазон версій iOS — приблизно від 13.0 до 17.2.1. Натомість DarkSword розрахований на експлуатацію вразливостей у більш нових релізах, описуваних як діапазон між 18.4 та 18.7. Протягом останнього року ці інструменти використовувалися різними групами — від кримінальних кіберугруповань до більш технічно підготовлених акторів — для доставки шкідливих завантажувачів та шпигунського ПЗ через браузер.
Coruna, DarkSword і еволюція інструментів для атак на iOS
Важлива деталь: Coruna не виглядає як випадкова збірка публічних експлойтів. Аналітики відзначають структуровану архітектуру та постійну підтримку коду, що характерно для довгострокових шпигунських платформ. Поява DarkSword свідчить про подальшу еволюцію цієї екосистеми — орієнтацію на нові версії iOS та розширення цільової аудиторії.
Зв’язок Coruna з операцією Operation Triangulation
Фахівці «Kaspersky» пов’язують Coruna з раніше задокументованою шпигунською кампанією Operation Triangulation, розкритою влітку 2023 року. У тій операції застосовувалися складні zero-click-експлойти для iMessage, які дозволяли зламувати iPhone без кліків і взаємодії користувача.
На думку дослідників, Coruna є логічним продовженням і розвитку фреймворку Operation Triangulation, а не окремим проєктом. Це вказує на наявність суттєвих ресурсів, власної дослідницької бази та доступу до дорогих zero-day-уразливостей — рівень, типовий для державних чи квазідержавних структур та пов’язаних із ними підрядників.
Ринок zero-day для iOS та «демократизація» шпигунських атак
Наразі немає публічної інформації, як саме експлойт-кити Coruna та DarkSword опинилися у розпорядженні декількох різних груп. Втім, низка робіт у сфері кібербезпеки вказує на існування «вторинного» ринку zero-day та one-day для мобільних ОС. Спочатку дорогі експлойти, створені для спецслужб або приватних шпигунських компаній, з часом можуть потрапляти до ширшого кола клієнтів — у тому числі до кіберзлочинців.
Ця «демократизація» інструментів атаки означає, що можливості державного рівня стають доступними значно менш контрольованим акторам. У результаті зростає ризик не лише точкових шпигунських операцій, а й масштабних кампаній проти звичайних користувачів iPhone та iPad, а мобільні пристрої перетворюються на одну з найпривабливіших і водночас найвразливіших цілей.
Як захистити iPhone та iPad: оновлення, Lockdown Mode і базова кібергігієна
Ключовий крок захисту iPhone та iPad у поточній ситуації — негайне встановлення всіх доступних оновлень iOS або iPadOS. Якщо пристрій давно не оновлювався, ризик успішної експлуатації через Coruna чи DarkSword зростає в рази. Ігнорування системних попереджень фактично дорівнює свідомому прийняттю ризику компрометації.
Для користувачів, які з технічних причин не можуть перейти на найновішу версію (наприклад, через обмеження старої моделі), Apple рекомендує за можливості активувати режим підвищеного захисту Lockdown Mode (доступний на iOS 16 та новіших версіях). Цей режим суттєво обмежує обробку потенційно небезпечного контенту: урізає певні функції браузера, блокує окремі вкладення й посилання, а також зменшує площу атаки, відключаючи низку маловживаних, але небезпечних можливостей.
За даними Apple, компанії не відомо про жоден успішний випадок зараження шпигунським ПЗ пристрою з активованим Lockdown Mode. Тому цей режим варто розглядати як обов’язковий інструмент для журналістів, правозахисників, співробітників критично важливої інфраструктури та всіх користувачів із підвищеним профілем ризику.
Додатково рекомендується увімкнути автоматичне встановлення оновлень iOS, не встановлювати сторонні конфігураційні профілі, уникати джейлбрейку, а для організацій — контролювати стан мобільних пристроїв через MDM-рішення та оперативно застосовувати патчі безпеки. Чим швидше користувачі та компанії впровадять базову кібергігієну на мобільних платформах, тим складніше буде зловмисникам перетворювати нові уразливості в масштабну зброю проти iPhone та iPad.
