DarkSword: διαρροή exploit που απειλεί εκατομμύρια iPhone

Η διαρροή της εξελιγμένης αλυσίδας εκμετάλλευσης για iOS γνωστής ως DarkSword φέρνει πάλι στην επιφάνεια τον διαρκή κίνδυνο που αντιμετωπίζουν τα κινητά — ακόμα και όταν πρόκειται για συσκευές με κλειστό οικοσύστημα όπως το Apple. Ανεξάρτητοι ερευνητές επιβεβαίωσαν ότι το toolkit πλέον κυκλοφορεί εκτός των αρχικών ομάδων απειλής και ότι μπορεί να επιτύχει πλήρη πρόσβαση στο kernel σε πραγματικές συσκευές. Το γεγονός ότι το exploit λειτούργησε σε ένα iPad mini 6ης γενιάς με iOS 18.6.2 δείχνει πόσο ρεαλιστικός είναι ο κίνδυνος για χρήστες και οργανισμούς που δεν έχουν εγκαταστήσει τις πιο πρόσφατες ενημερώσεις.

Τι είναι μια exploit chain και γιατί ανησυχούμε

Όταν μιλάμε για «exploit chain» εννοούμε μια σειρά από ευπάθειες που εκμεταλλεύονται οι επιτιθέμενοι για να περάσουν από ένα αρχικό σημείο εισόδου (όπως τον browser) στον πυρήνα του λειτουργικού συστήματος και τελικά να αποκτήσουν πλήρη έλεγχο της συσκευής. Η αλυσίδα είναι τόσο επικίνδυνη επειδή κάθε βήμα σπάει και ένα διαφορετικό επίπεδο προστασίας: sandboxing, διαδικασίες με περιορισμένα δικαιώματα, μηχανισμοί εντοπισμού και, τέλος, η προστασία της μνήμης του kernel.

Σε πρακτικό επίπεδο, μια επιτυχημένη exploit chain όπως το DarkSword δεν περιορίζεται σε ένα χρήστη ή σε μία συσκευή. Εάν γίνει ευρέως διαθέσιμη — ή αν πέσει σε εμπορικά κυκλοφορούντες κύκλους — μπορεί να χρησιμοποιηθεί για μαζική παραβίαση λογαριασμών, κλοπή κρυπτονομισμάτων, επιτήρηση στόχων και συλλογή ευαίσθητων δεδομένων χωρίς εμφανή σημάδια στο θύμα.

Πώς λειτουργεί το DarkSword στην πράξη

Το DarkSword παρουσιάζεται ως πλήρες exploit kit και infostealer γραμμένο σε JavaScript. Η αλυσίδα ξεκινά συνήθως από ένα «watering hole» — μια σελίδα ή iframe σε νόμιμη αλλά παραβιασμένη ιστοσελίδα που φορτώνει κακόβουλο περιεχόμενο όταν ο χρήστης επισκέπτεται. Μόλις η σελίδα φορτώσει, το exploit σπάει το sandbox του Safari και κινείται σε επόμενα θύματα διεργασιών.

Στη συνέχεια το toolkit παραβιάζει μηχανισμούς όπως το Trusted Path Read-Only και το Pointer Authentication Codes (PAC) abuse, εκμεταλλευόμενο ευάλωτες εσωτερικές δομές του dynamic loader (dyld) που υπάρχουν σε εγγράψιμη στοίβα μνήμης. Με απλά λόγια, οι επιτιθέμενοι βρίσκουν και αλλοιώνουν κρίσιμες δομές στη μνήμη, παρακάμπτοντας προστασίες που συνήθως εμποδίζουν τον εκτέλεση επιθετικών αλλαγών στη μνήμη.

Εκμετάλλευση γραφικών και μετάβαση στον kernel

Ένα ξεχωριστό κομμάτι της αλυσίδας αποτελεί η επίθεση στον υποσύστημα γραφικών. Το exploit εκμεταλλεύεται ένα out‑of‑bounds write στην engine γραφικών ANGLE, το οποίο επιτρέπει την κλιμάκωση προνομίων μέσω της διεργασίας της GPU. Η προσέγγιση αυτή δείχνει ότι ακόμη και υποσυστήματα που θεωρούνται «χειρότερα» από πλευράς επιθέσεων δεν είναι ασφαλή: μέσω τους οι επιτιθέμενοι φτάνουν σε σημεία που μπορούν να επηρεάσουν τον πυρήνα.

Από τη διεργασία της GPU το kit ενεργοποιεί μια ευπάθεια Copy‑On‑Write στον driver AppleM2ScalerCSCDriver, που τρέχει στον kernel XNU. Η εκμετάλλευση αυτής της ευπάθειας επιτρέπει arbitrary memory read/write primitives — δηλαδή πλήρη δυνατότητα ανάγνωσης και εγγραφής μνήμης — και τελικά την αλλαγή κανόνων sandboxing και την πρόσβαση σε προστατευμένα αρχεία του συστήματος.

Τι κάνουν οι attackers μετά τη διάρρηξη

Το DarkSword λειτουργεί εξ ολοκλήρου στη μνήμη, φορτώνοντας γρήγορα scripts και τελικές payloads χωρίς να αφήνει μόνιμα αρχεία στο δίσκο, κάτι που δυσκολεύει τον εντοπισμό. Ερευνητές εντόπισαν τρεις ξεχωριστές οικογένειες malware που χρησιμοποιούνται στο τέλος της αλυσίδας: GHOSTBLADE, GHOSTKNIFE και GHOSTSABER. Αυτές συλλέγουν ευαίσθητα δεδομένα — μηνύματα από εφαρμογές, αποθηκευμένα credentials και δεδομένα από πορτοφόλια κρυπτονομισμάτων — και τα εξάγουν σε ελεγχόμενα από τους επιτιθέμενους κόμβους ελέγχου.

Οι επιτιθέμενοι χρησιμοποιούν υποτομείς σε παραβιασμένους νόμιμους ιστότοπους για το command‑and‑control (C2), τεχνική που δυσκολεύει την άμεση αναφορά και μπλοκάρισμα. Παραδείγματα τέτοιων domain είναι υποτομείς σε ιστοσελίδες που έχουν ήδη παραβιαστεί, επιτρέποντας τη μίμηση κανονικής κίνησης και την παράκαμψη των απλών φίλτρων ασφαλείας.

Ποιος φαίνεται να βρίσκεται πίσω και ποιες οι στόχοι

Η Google Threat Intelligence Group παρατήρησε ενεργές εκστρατείες που χρησιμοποιούν DarkSword ήδη από τον Νοέμβριο του 2025. Η εργασία αυτή αποδίδει την κύρια χρήση του toolkit στην ομάδα που φέρει την ονομασία UNC6353, μια υποψιαζόμενη ρωσική ομάδα κατασκοπείας που έχει προηγούμενο με τη χρήση του exploit kit Coruna. Οι αναφορές δείχνουν στόχευση σε χρήστες και οργανισμούς σε χώρες όπως η Ουκρανία, η Σαουδική Αραβία, η Τουρκία και η Μαλαισία, κάτι που ταιριάζει με ένα προσανατολισμό σε γεωπολιτικά και οικονομικά ενδιαφέροντα.

Η διαρροή του κώδικα σε ευρύτερους κύκλους αυξάνει σημαντικά τον κίνδυνο: ό,τι προηγουμένως ήταν μονοπωλιακό εργαλείο μιας κρατικής ομάδας μπορεί τώρα να χρησιμοποιηθεί από εγκληματικές συμμορίες ή μικρότερες ομάδες για μαζικές επιθέσεις.

Τι μπορούν να κάνουν οι χρήστες και οι οργανισμοί τώρα

Καταρχάς, η πιο άμεση και αποτελεσματική ενέργεια είναι η ενημέρωση όλων των Apple συσκευών στο πιο πρόσφατο iOS που περιλαμβάνει τα σχετικά patches. Σύμφωνα με αναφορές, οι διορθώσεις για τις υποκείμενες ευπάθειες περιλαμβάνονται σε εκδόσεις όπως το iOS 26.1 και μεταγενέστερες, οπότε η εγκατάσταση των επίσημων ενημερώσεων πρέπει να είναι προτεραιότητα.

Για χρήστες υψηλού κινδύνου και επιχειρήσεις, η ενεργοποίηση του Lockdown Mode της Apple προσθέτει ένα κρίσιμο επιπλέον στρώμα προστασίας απέναντι σε σύνθετα web‑based exploit chains. Επιπλέον μέτρα περιλαμβάνουν χρήση Mobile Device Management (MDM) για κεντρική διαχείριση ενημερώσεων, περιορισμό δικτύων και DNS φίλτρων προς ύποπτες τοποθεσίες, χρήση EDR/MDM εργαλείων για έγκαιρη ανίχνευση ασυνήθιστης δραστηριότητας και την περιοδική αλλαγή ευαίσθητων credentials.

Τεχνικές συμβουλές για διαχειριστές ασφαλείας

Σε επίπεδο υποδομών, οι διαχειριστές θα πρέπει να ενεργοποιήσουν logging και συλλογή τηλεμετρίας από τις κινητές συσκευές και τα gateways, ώστε να μπορούν να εντοπίζουν ασυνήθιστες συνδέσεις C2 ή περίεργες συμπεριφορές διεργασιών. Η χρήση network segmentation και strict egress filtering μειώνει την ευκολία με την οποία ένα συμβιβασμένο endpoint επικοινωνεί με εξωτερικούς C2 servers.

Επίσης, για εταιρικά περιβάλλοντα, το ξεκαθάρισμα των δικαιωμάτων εφαρμογών, ο περιορισμός χρήσης browser‑plugins και η αποφυγή ανεπίσημων app stores περιορίζουν την επιφάνεια επίθεσης. Ακτιβιστική ή κρατική στόχευση απαιτεί επιπλέον μέτρα: εκπαίδευση προσωπικού, πολιτικές ασφαλείας για ταξιδιώτες και χρήση απομονωμένων συσκευών για ευαίσθητες εργασίες.

Σύγκριση με προηγούμενα exploit kits και τάσεις

Συγκρίνοντας το DarkSword με προηγούμενα kits όπως το Pegasus ή το Coruna, βλέπουμε κοινά μοτίβα αλλά και εξέλιξη στην τεχνική υλοποίηση. Όπως και οι προηγούμενες λύσεις, επιδιώκει πλήρη ανάδυση στο kernel, αλλά διαφοροποιείται στην έμφαση σε υποσυστήματα γραφικών και στη χρήση πιο σύνθετων PAC bypass τεχνικών. Αυτό αντικατοπτρίζει μια γενική τάση: οι επιτιθέμενοι χρησιμοποιούν πλέον πιο σύνθετες αλυσίδες πολλαπλών σταδίων και επενδύουν χρόνο στην απόκρυψη τους στη μνήμη.

Επιπλέον, η «commoditization» αυτών των εργαλείων σημαίνει ότι λιγότερο εξειδικευμένες ομάδες επιχειρήσεων ή εγκληματίες μπορούν να πραγματοποιήσουν προηγουμένως στοχευμένες επιθέσεις. Αυτό αλλάζει το μοντέλο απειλής — από στοχευμένη κατασκοπεία σε κλίμακα, καθώς οι αυτοματοποιημένες υποδομές επιτρέπουν ευρύτερη εκμετάλλευση. Οι οργανισμοί πρέπει να λάβουν υπόψη αυτή την εξέλιξη όταν σχεδιάζουν την άμυνά τους.

Επιπτώσεις στην ιδιωτικότητα, νομικά και συμμορφωτικά ζητήματα

Η παραβίαση μιας κινητής συσκευής με πρόσβαση στο kernel έχει βαριές επιπτώσεις στην ιδιωτικότητα: εκτενή αρχεία συνομιλιών, εγγραφές ήχου, φωτογραφίες, πρόσβαση σε tokens εφαρμογών και κλειδιά κρυπτογραφίας. Για οργανισμούς που χειρίζονται προσωπικά δεδομένα, μια παραβίαση τέτοιας κλίμακας μπορεί να οδηγήσει σε νομικές απαιτήσεις για ειδοποίηση θυμάτων, έρευνες από ρυθμιστικές αρχές και πιθανές πρόστιμες κυρώσεις κάτω από νόμους όπως το GDPR.

Επιπλέον, η χρήση παραβιασμένων ιστότοπων ως C2 δημιουργεί προκλήσεις αποδεικτικής φύσης: οι επιχειρήσεις πρέπει να διατηρούν logs και τεκμηρίωση για να αποδείξουν ότι ακολουθήθηκαν βέλτιστες πρακτικές. Η ενίσχυση της διαφάνειας στις αναφορές ευπάθειας και η γρήγορη κοινοποίηση διορθώσεων από τους vendors είναι κρίσιμα στοιχεία για την ελαχιστοποίηση του ρυθμιστικού ρίσκου.

Παραδείγματα πραγματικής επίθεσης και Indicators of Compromise

Ως πρακτικό παράδειγμα, ένας δημοσιογράφος που επισκέπτεται έναν παραβιασμένο ιστότοπο μπορεί να μολυνθεί χωρίς κλικ, μέσω ενός iframe που εκτελεί το JavaScript module του DarkSword. Στη συνέχεια, θα μπορούσε να εμφανιστούν περίεργες διεργασίες στο background, αυξημένη δικτυακή κίνηση προς άγνωστους υποτομείς και ασυνήθιστες κλήσεις API προς local stores. Η παρακολούθηση τέτοιων συμπεριφορών σε endpoint και network επίπεδο είναι κρίσιμη για την έγκαιρη ανακάλυψη.

Indicators of Compromise (IoCs) που έχουν δημοσιοποιηθεί περιλαμβάνουν συγκεκριμένα patterns αιτήσεων HTTP προς υποτομείς γνωστών domains, SHA256 hashes σε μνήμη που συνδέονται με GHOSTBLADE payloads, και συγκεκριμένα query strings που εμφανίζονται στην επικοινωνία C2. Οποιοσδήποτε διαχειριστής ασφαλείας πρέπει να ενσωματώσει αυτά τα IoCs στα SIEM/EDR για αυτοματοποιημένη ανίχνευση και να πραγματοποιεί τακτικούς ελέγχους για anomalous process trees σε κινητές συσκευές.

Προτάσεις για πολιτικές, incident response και μελλοντική προετοιμασία

Οργανισμοί θα πρέπει να αναπτύξουν σαφείς πολιτικές incident response για συμβιβασμένες κινητές συσκευές, που να περιλαμβάνουν γρήγορες διαδικασίες απομόνωσης, συλλογή memory images όπου είναι νομικά επιτρεπτό και συνεργασία με εξωτερικούς forensics partners. Η ύπαρξη playbooks για mobile incidents — με προκαθορισμένους ρόλους, επικοινωνιακά templates και checklists για remediation — μειώνει τον χρόνο αντίδρασης και το συνολικό ρίσκο διαρροής δεδομένων.

Επίσης, η εφαρμογή πολιτικών zero‑trust, χρήση επαληθευμένων εφεδρικών λύσεων και συχνή επανεκπαίδευση εργαζομένων σε phishing και web hygiene συμβάλλουν στην πρόληψη. Τέλος, η πίεση προς τους vendors για διαφάνεια σε timelines αποκατάστασης ευπαθειών και η υποστήριξη προγραμμάτων bug bounty ενισχύουν το συνολικό οικοσύστημα ασφάλειας, μειώνοντας τον χρόνο κατά τον οποίο μια exploit chain παραμένει λειτουργική στο wild.

Γιατί έχει σημασία

Η δημόσια παρουσίαση και επαλήθευση του DarkSword από ανεξάρτητους ερευνητές αλλάζει το πλαίσιο: δεν μιλάμε πλέον απλώς για θεωρητικό ρίσκο αλλά για ένα εργαλειοθήκη που αποδεδειγμένα δουλεύει σε πραγματικό hardware. Η διαρροή τέτοιων εργαλείων μετατρέπει προηγούμενες στοχευμένες επιθέσεις σε δυνητικά μαζικές και αυτοματοποιημένες εκστρατείες, αυξάνοντας το κόστος και τον κίνδυνο για εταιρείες, δημοσιογράφους, ακτιβιστές και απλούς χρήστες.

Σε ευρύτερο επίπεδο, το περιστατικό υπενθυμίζει ότι η ασφάλεια των συσκευών εξαρτάται τόσο από την προληπτική δουλειά των κατασκευαστών όσο και από την ταχύτητα με την οποία οι χρήστες υιοθετούν patches. Η τάση της «commoditization» των exploit kits σημαίνει ότι η διαφορά μεταξύ κρατικών και εγκληματικών πόρων γίνεται όλο και πιο ασαφής — κάτι που απαιτεί συντονισμό, ταχύτερες ενημερώσεις και πιο διαφανή πολιτική ευθύνης από τους vendors.

Τελική παρατήρηση: όσο κι αν το οικοσύστημα της Apple είναι πιο κλειστό και ελεγχόμενο από άλλα, η πολυπλοκότητα των σύγχρονων λειτουργικών και οδηγών (drivers) δημιουργεί σημεία ευαλωτότητας. Η ασφάλεια απαιτεί συνεχείς επενδύσεις, γρήγορες επιδιορθώσεις και ενημερωμένους χρήστες για να μείνουν μπροστά από τέτοιες απειλές.