Lỗ hổng được biết đến là DarkSword Đây đã trở thành một trong những sự cố bảo mật nghiêm trọng nhất ảnh hưởng đến iPhone gần đây. Các nhà nghiên cứu từ Google, iVerify và Lookout đã ghi lại cách thức bộ công cụ này hoạt động. khai thác không cần nhấp chuột Nó cho phép chiếm quyền kiểm soát các thiết bị chạy iOS 18 chỉ bằng cách tải một trang web bị nhiễm độc, mà người dùng không cần phải nhấn bất cứ nút nào hoặc mở các liên kết đáng ngờ.
Vụ việc này đã gióng lên hồi chuông cảnh báo trong cộng đồng an ninh mạng châu Âu, bởi vì hàng trăm triệu chiếc iPhone Các phiên bản iOS 18 dễ bị tổn thương vẫn đang được sử dụng trên toàn thế giới. Mặc dù Apple đã phát hành các bản vá lỗi và bản cập nhật khẩn cấp, nhưng việc áp dụng các phiên bản mới nhất diễn ra chậm hơn dự kiến, một phần do những nghi ngờ về cách thức hoạt động của hệ thống. quản lý không gian, nơi duy trì một bề mặt tấn công đáng kể cả ở châu Âu và các thị trường khác.
DarkSword thực chất là gì và tại sao nó lại gây ra nhiều lo ngại đến vậy?
DarkSword không chỉ là một lỗi đơn lẻ, mà là một vấn đề phức tạp. Bộ công cụ tấn công hoàn chỉnh dành cho iOS Được thiết kế để xâm nhập iPhone mà không cần sự can thiệp của người dùng. Phân tích kỹ thuật cho thấy các chuỗi công cụ xoay quanh vấn đề này. sáu lỗ hổng bảo mật zero-day Từ trình duyệt Safari, người dùng có thể truy cập trực tiếp vào nhân hệ điều hành, giành được đủ đặc quyền để truy cập hầu hết mọi thông tin trên thiết bị.
Chiến dịch ban đầu đã được phát hiện tại Hàng chục trang web hợp pháp của Ukraine Những trang web đó đã bị thao túng. Chỉ cần truy cập một trong những trang đó từ một chiếc iPhone bị nhiễm là đủ để kích hoạt chuỗi khai thác ngầm. Từ đó, DarkSword có thể đọc tin nhắn iMessage, WhatsApp và Telegram, xem lịch sử duyệt web, xem ghi chú, sự kiện lịch hoặc thậm chí truy cập hồ sơ từ ứng dụng Sức khỏe của Apple.
Một trong những yếu tố khiến các nhà nghiên cứu lo ngại nhất là cuộc tấn công được triển khai trên quy mô lớn và không chỉ nhắm vào các mục tiêu quan trọng. Theo dữ liệu do iVerify và Lookout thu thập, từ 220 đến 270 triệu chiếc iPhone Họ vẫn tiếp tục sử dụng các phiên bản iOS 18 dễ bị tổn thương, trên thực tế chiếm khoảng 14-25% số lượng iPhone đang hoạt động.
Hơn nữa, DarkSword dựa trên kiến trúc của các mô-đun hậu khai thác—được các nhà phân tích gọi bằng các tên mã như... GHOSTBLADE, GHOSTKNIFE hoặc GHOSTSABER— những người chịu trách nhiệm thu thập và đóng gói thông tin bị đánh cắp trong thời gian rất ngắn, điều này đặc biệt hấp dẫn đối với các chiến dịch gián điệp và trộm cắp tiền điện tử.
Cách thức tấn công hoạt động: từ Safari đến lõi iOS.
DarkSword hoạt động bằng cách khai thác một chuỗi các lỗ hổng bảo mật liên kết với nhau. Điểm xâm nhập chính là... Trình duyệt Safari hoặc bất kỳ thành phần nào hiển thị nội dung web. Khi một trang bị xâm nhập được tải, mã được thiết kế đặc biệt để khai thác các lỗ hổng trong công cụ JavaScript và các thành phần trình duyệt khác sẽ được thực thi.
Sau khi giai đoạn đầu tiên thành công, cuộc tấn công sẽ tiến sâu hơn vào các lớp hệ thống, khai thác thêm các lỗ hổng khác cho đến khi đạt được mục tiêu. thực thi mã với quyền hạn caoVới quyền truy cập ở mức độ đó, kẻ tấn công có thể đọc các cơ sở dữ liệu nội bộ, trích xuất chuỗi khóa mật khẩu, xem lại các cuộc hội thoại và tham khảo các tập tin thường được bảo vệ ngay cả bởi các ứng dụng của chính người dùng.
Phương pháp tiếp cận này thuộc loại không mảnh vải che thânNói cách khác, DarkSword tránh cài đặt các ứng dụng hiển thị hoặc các tập tin tồn tại lâu dài. Thay vào đó, nó chiếm quyền kiểm soát các tiến trình của hệ điều hành, thực thi các lệnh độc hại từ bộ nhớ và xóa sạch mọi dấu vết trong vòng vài phút. Hành vi "tấn công rồi rút lui" này khiến việc phát hiện trở nên cực kỳ khó khăn, ngay cả đối với các giải pháp chuyên dụng, bởi vì sau khi khởi động lại điện thoại, hầu như không còn dấu hiệu rõ ràng nào của sự xâm nhập.
Phương thức hoạt động này gợi nhớ đến các kỹ thuật kinh điển được sử dụng trong các cuộc tấn công máy tính cao cấp, nhưng đã được điều chỉnh cho phù hợp với hệ sinh thái của Apple. Trên thực tế, các nhà nghiên cứu nhấn mạnh rằng Không phát hiện thấy bất kỳ dấu hiệu thường thấy nào của phần mềm gián điệp thường trú.Điều này làm thay đổi đáng kể luật chơi đối với những người thường xuyên tìm kiếm các ứng dụng đáng ngờ trên thiết bị của mình.
Các phiên bản iOS bị ảnh hưởng và phạm vi toàn cầu
Những đợt tấn công đầu tiên của DarkSword chủ yếu nhắm vào... iPhone chạy iOS 18Các báo cáo từ Google, Lookout và iVerify đều nhất quán chỉ ra các phiên bản nằm trong khoảng giữa... iOS 18.4 và iOS 18.6.2 Đây là chiến dịch bị ảnh hưởng rõ rệt nhất trong số các chiến dịch đã được phát hiện. Một số phân tích cũng đề cập đến việc sửa lỗi một phần trong iOS 18.7.2, trong khi những phân tích khác cho rằng lỗ hổng đã được khắc phục hoàn toàn trong iOS 26 trở lên.
Dù sao đi nữa, bức tranh được vẽ nên từ dữ liệu đã rất rõ ràng: Vẫn còn rất nhiều thiết bị đang chạy iOS 18.Nguyên nhân có thể là do người dùng chưa nâng cấp lên phiên bản mới nhất hoặc do họ muốn tránh những thay đổi về giao diện. Tình trạng này không chỉ ảnh hưởng đến người dùng ở các khu vực xung đột mà còn ảnh hưởng đến hàng triệu người ở Liên minh châu Âu và Tây Ban Nha, những người sử dụng iPhone hàng ngày cho các giao dịch ngân hàng, nhận dạng kỹ thuật số hoặc chữ ký điện tử.
Các nhà nghiên cứu đã ghi nhận việc sử dụng DarkSword từ ít nhất... cuối năm 2025Mặc dù phát hiện ban đầu xảy ra ở các vùng lãnh thổ của Ukraine, nhưng các chiến dịch nhắm vào các mục tiêu ở [không xác định] đã sớm bị phát hiện. Ả Rập Saudi, Turkiye và MalaysiaTrong một số trường hợp này, lỗ hổng bảo mật được nhúng vào các trang web hợp pháp, chẳng hạn như các cổng thông tin tin tức hoặc các trang quản trị, lợi dụng danh tiếng tốt của chúng để không bị phát hiện.
Tại châu Âu, rủi ro gián tiếp hơn nhưng không kém phần nghiêm trọng: bất kỳ người dùng nào truy cập các trang web bị xâm nhập được lưu trữ bên ngoài châu Âu, hoặc kết nối thông qua các mạng quốc tế, đều có thể tải xuống mã độc. Hơn nữa, việc DarkSword là một bộ công cụ có thể tái sử dụng làm tăng khả năng nó cuối cùng sẽ được tích hợp vào [không rõ/không rõ]. các chiến dịch tội phạm mạng rộng hơnbao gồm cả những vụ tấn công nhằm đánh cắp tài khoản ngân hàng trực tuyến và ví tiền điện tử của công dân châu Âu.
Ai đứng sau DarkSword và mối quan hệ của họ với Coruna là gì?
Một yếu tố quan trọng để hiểu được tác động của DarkSword là bối cảnh của nó. Đầu tháng này, cùng nhóm Google và iVerify đã công bố một bộ công cụ tấn công cấp cao khác được gọi là... CorunaCó khả năng xâm nhập iPhone từ iOS 13 đến iOS 17.2.1 thông qua 23 lỗ hổng liên kết. Cả hai gói khai thác đều xuất hiện trên cùng một cơ sở hạ tầng máy chủĐiều này cho thấy có một nguồn gốc chung hoặc ít nhất là sự hợp tác giữa nhiều bên.
Một phần kho vũ khí này được cho là có nguồn gốc từ thị trường khai thác lỗ hổng bảo mật cấp chính phủ. Các cuộc điều tra trước đây đã dẫn chứng trường hợp của một cựu thành viên thuộc bộ phận Trenchant, thuộc công ty quốc phòng L3Harris, người đã thừa nhận có Đã bán một loạt lỗ hổng bảo mật cho một bên trung gian người Nga. Chiến dịch này được gọi là Chiến dịch Zero. Từ đó, chuỗi bóc lột sẽ chuyển từ tay nhà nước sang các nhóm tội phạm ít lương tâm hơn.
Trong trường hợp của DarkSword, Google tuyên bố đã quan sát thấy việc sử dụng nó bởi các nhà cung cấp dịch vụ giám sát thương mại và bởi những tin tặc bị cáo buộc có liên hệ với các cơ quan tình báo nhà nước. Một trong những chiến dịch cụ thể liên quan đến PARS Defense, một công ty giám sát thương mại của Thổ Nhĩ Kỳ, trong các cuộc tấn công nhắm vào các địa điểm ở Thổ Nhĩ Kỳ và Malaysia.
Cũng có những liên kết đến Nga. Một phần mã độc đã được triển khai tại... các trang web của Ukraine bị xâm phạmCác nhà nghiên cứu cho biết có những đối tượng điều hành liên quan đến các lợi ích của Nga đã tái sử dụng lỗ hổng này để kết hợp hoạt động gián điệp chính trị và lợi ích tài chính. Chi tiết đáng chú ý nhất là mã DarkSword đã xuất hiện trên một số máy chủ. Không hề khó hiểu và kèm theo lời giải thích bằng tiếng Anh.Điều này khiến cho các đối tượng xấu khác dễ dàng sao chép, điều chỉnh và triển khai các chiến dịch mới.
Việc phát hành gần như đồng thời của Coruna và DarkSword cho thấy mức độ thay đổi của thị trường công cụ xâm nhập hệ thống iOS. Những công cụ từng được coi là "vũ khí bắn tỉa" dành riêng cho các hoạt động nhắm mục tiêu cụ thể giờ đây đang biến đổi thành... kho vũ khí sử dụng hàng loạtVới tầm ảnh hưởng tiềm tàng vượt xa giới ngoại giao hay quân sự.
DarkSword có thể đánh cắp những thông tin gì từ iPhone?
Các báo cáo kỹ thuật đều nhất trí rằng DarkSword có khả năng trích xuất một lượng rất lớn dữ liệu nhạy cảm. Sau khi quá trình xâm nhập hoàn tất, các mô-đun hậu khai thác có thể truy cập vào dữ liệu. Mật khẩu được lưu trữ, mã xác thực và thông tin đăng nhập dịch vụ đám mâyNhững quyền này bao gồm tài khoản email, mạng xã hội và quyền truy cập vào các dịch vụ tài chính.
Trong lĩnh vực truyền thông, bộ dụng cụ được chuẩn bị để thu thập thông tin. tin nhắn và nhật ký từ iMessage, WhatsApp và TelegramCũng như các ứng dụng nhắn tin khác dựa trên cùng cơ sở dữ liệu nội bộ. Điều này cho phép tái tạo lại các cuộc hội thoại trước đó, lấy số điện thoại và siêu dữ liệu về người được nói chuyện và tần suất nói chuyện.
DarkSword cũng nhắm vào các khía cạnh cá nhân hơn của thiết bị: ảnh, video, lịch sử duyệt web, ghi chú, lịch và dữ liệu ứng dụng Sức khỏeĐây không chỉ là vấn đề riêng tư trừu tượng; trong nhiều trường hợp, dữ liệu này cho phép lập hồ sơ về thói quen hàng ngày, vị trí gần đúng và thậm chí cả thông tin về tình trạng sức khỏe, điều đặc biệt nhạy cảm theo các quy định bảo vệ dữ liệu nghiêm ngặt của châu Âu.
Mục tiêu ưu tiên là ví tiền điện tử và các tài sản kỹ thuật số khácPhần mềm độc hại này nhắm mục tiêu cụ thể vào thông tin đăng nhập và khóa liên quan đến ví điện tử, nền tảng giao dịch và các ứng dụng tài chính. Các nhà nghiên cứu đã ghi nhận các chiến dịch trong đó những kẻ điều hành DarkSword sử dụng các trang web tiền điện tử giả mạo để thực hiện hành vi đánh cắp tiền, do đó kết hợp hoạt động gián điệp và tội phạm tài chính.
Tất cả những điều này được thực hiện trong một khoảng thời gian tương đối ngắn. Thiết kế "không cần tập tin" tạo điều kiện cho các cuộc tấn công nhanh chóng, trong đó phần mềm gián điệp thu thập càng nhiều thông tin càng tốt trong vài phút đầu tiên sau khi lây nhiễm và sau đó... xóa sạch phần lớn dấu chân của mình.Điều này làm giảm khả năng người dùng nhận thấy bất cứ điều gì bất thường về hoạt động của điện thoại.
Các biện pháp bảo vệ: cập nhật, chế độ cách ly và các biện pháp tốt nhất
Trước một cuộc tấn công quy mô lớn như vậy, biện pháp phòng thủ chính, đơn giản như chính tên gọi của nó, chính là: Hãy luôn cập nhật iPhone của bạn.Apple đã khắc phục các lỗ hổng bảo mật tiềm ẩn qua nhiều đợt: đầu tiên là bằng các bản cập nhật bảo mật cụ thể cho iOS 18, sau đó là các bản vá như iOS 18.7.2, và cuối cùng là vá các lỗ hổng trong loạt iOS 26 gần đây hơn.
Trên thực tế, khuyến nghị dành cho bất kỳ người dùng nào ở Tây Ban Nha hoặc phần còn lại của châu Âu là nên truy cập Cài đặt> Chung> Cập nhật phần mềm Và hãy đảm bảo rằng thiết bị đang chạy phiên bản iOS mới nhất hiện có cho kiểu máy đó. Nếu iPhone có thể cập nhật lên iOS 26, tốt nhất nên cập nhật càng sớm càng tốt. Đối với các thiết bị vẫn đang chạy iOS 18, điều cần thiết là phải cài đặt tất cả các bản vá bảo mật do Apple phát hành.
Một lớp phòng thủ quan trọng khác là Chế độ phong tỏaChế độ này, ban đầu được thiết kế cho người dùng có rủi ro cao—nhà báo, nhà hoạt động, quan chức nhà nước—đã chứng tỏ hiệu quả trong việc chặn hoặc ít nhất là làm suy yếu đáng kể các mạng lưới khai thác như những mạng lưới được DarkSword và Coruna sử dụng. Trên thực tế, một số bộ công cụ này chọn cách hủy bỏ quá trình xâm nhập nếu phát hiện thiết bị đang ở chế độ này, để tránh để lại bất kỳ dấu vết nào có thể hỗ trợ cuộc điều tra.
Bên cạnh các bản cập nhật và tính năng nâng cao, vẫn còn một số phương pháp thực hành tốt nhất có giá trị. Mặc dù trong chiến dịch cụ thể này, Không cần thiết phải nhấp vào các liên kết lạ. Để tránh bị nhiễm bệnh, nên hạn chế tiếp xúc bằng cách chỉ truy cập các trang web đáng tin cậy, tránh sử dụng mạng Wi-Fi công cộng không được mã hóa và thường xuyên kiểm tra cài đặt quyền riêng tư và bảo mật của hệ thống.
Đối với người dùng xử lý khối lượng lớn dữ liệu nhạy cảm hoặc tài sản kỹ thuật số, việc dựa vào... có thể là một giải pháp hợp lý. công cụ giám sát chuyên dụng Chẳng hạn như những giải pháp được cung cấp bởi các công ty trong lĩnh vực bảo mật di động. Chúng không phải là giải pháp thần kỳ—đặc biệt là với các cuộc tấn công lén lút như vậy—nhưng chúng có thể giúp phát hiện hành vi bất thường hoặc cấu hình dễ bị tổn thương.
Vụ việc liên quan đến DarkSword cũng là lời nhắc nhở cho nhiều người dùng iPhone ở châu Âu rằng tính năng bảo mật mặc định không phải là hoàn hảo. iOS vẫn là một trong những nền tảng di động mạnh mẽ nhất, nhưng các mối đe dọa cấp nhà nước và thị trường khai thác lỗ hổng bảo mật ngân sách lớn Chúng đang đạt đến mức độ tinh vi đòi hỏi sự thận trọng tối đa và việc cập nhật bảo mật phải được thực hiện rất nghiêm túc.
