La nuova minaccia contro gli iPhone
La campagna basata su DarkSword che ha preso di mira gli iPhone è venuta alla luce solo due settimane dopo la scoperta di un altro toolkit usato contro i dispositivi Apple. L’insieme di tecniche, chiamato Coruna, è stato sfruttato da quello che Google descrive come un gruppo di spionaggio sostenuto dalla Russia e da altri gruppi di cybercriminali. Anche se DarkSword sembra essere stato creato da sviluppatori diversi, i ricercatori hanno scoperto che è stato impiegato dalle stesse spie russe. E come Coruna, è stato inserito all’interno di componenti di siti ucraini, tra cui portali di news e il sito di un’agenzia governativa. E tutto per raccogliere dati dai telefoni dei visitatori.
Al di là della campagna condotta dalla Russia, Google riporta che DarkSword era già stato utilizzato in passato per compromettere i telefoni di vittime in Arabia Saudita, Turchia e Malesia. Secondo l’azienda, tutto questo suggerisce che lo strumento sia già adottato da diversi gruppi di criminali, a cui probabilmente si aggiungeranno altri.
A sostegno di questa ipotesi, il ricercatore e cofondatore di iVerify Matthias Frielingsdorf fa notare che gli aggressori russi hanno lasciato il codice completo di DarkSword in bella vista sui siti in cui è stato integrato lo strumento (con tanto di commenti esplicativi in inglese per descriverne le varie componenti e il nome della tecnica), in modo che chiunque possa accedervi e riutilizzarlo. L’obiettivo, sostiene Frielingsdorf, è quello di invitare altri cybercriminali a usare lo strumento per colpire altri utenti di iPhone. “Chiunque abbia preso manualmente tutte le diverse parti dell’exploit potrebbe inserirle nel proprio web server e iniziare a infettare i telefoni. È semplicissimo“, afferma Frielingsdorf. “Ed è tutto ben documentato. È davvero troppo facile“.
Un portavoce di Apple ha dichiarato a Wired che “ogni giorno i team di sicurezza di Apple in tutto il mondo lavorano instancabilmente per proteggere i dispositivi e i dati degli utenti” e ha sottolineato che l’azienda ha distribuito aggiornamenti di sicurezza che possono proteggere gli utenti sia da Coruna che da DarkSword (tra cui gli aggiornamenti di emergenza lanciati la scorsa settimana per i dispositivi più datati che non possono eseguire iOs 26). “Mantenere il software aggiornato è un’operazione molto semplice“, afferma Frielingsdorf. “Rimane la cosa più importante che gli utenti possono fare per mantenere alta la sicurezza dei loro dispositivi Apple“, ribadisce il comunicato di Apple, in cui si sottolinea che anche l’impostazione di sicurezza più rigida di iOs, nota come Lockdown Mode, tutela gli utenti. Google si è rifiutata di fornire ulteriori commenti in merito alla vicenda, al di là del post pubblicato sul blog aziendale.
Come funziona DarkSword
Secondo Lookout, DarkSword è progettato per sottrarre dati dagli iPhone vulnerabili, tra cui password e foto, registri di iMessage, WhatsApp e Telegram, cronologia del browser, dati del Calendario e delle Note e addirittura informazioni dell’app Salute di Apple. Nonostante la campagna sembri finalizzata allo spionaggio, DarkSword ruba anche le credenziali dei wallet di criptovalute, un aspetto che sembra indicare che gli aggressori potrebbero averlo usato collateralmente anche a scopo di lucro.
