أداة اختراق رئيسية تسربت على الإنترنت، مما يعرض ملايين الآيفون للخطر. إليك ما تحتاج إلى معرفته
كشف باحثون في مجال أمن المعلومات عن سلسلة من الهجمات الإلكترونية التي تستهدف عملاء Apple في جميع أنحاء العالم. تم تسمية الأدوات المستخدمة في هذه الحملات القرصنة بـ Coruna و DarkSword، وقد تم استخدامها من قبل الجواسيس الحكوميين والمجرمين الإلكترونيين لسرقة البيانات من هواتف iPhone وأجهزة iPad الخاصة بالناس.
من النادر رؤية اختراقات واسعة النطاق تستهدف مستخدمي iPhone و iPad. في العقد الماضي، كانت السوابق الوحيدة هي الهجمات ضد مسلمي الأيغور في الصين، وضد الناس في هونغ كونغ.
الآن، تسربت بعض هذه الأدوات القوية للقرصنة عبر الإنترنت، مما قد يعرض مئات الملايين من iPhones و iPads التي تعمل على برامج قديمة لخطر سرقة البيانات.
اقرأ أيضاً
نقوم بتفكيك ما نعرفه وما لا نعرفه عن هذه التهديدات الأخيرة لقرصنة iPhone و iPad، وما يمكنك فعله للبقاء محميًا.
ما هي Coruna و DarkSword؟
تعد Coruna و DarkSword مجموعتين من أدوات القرصنة المتقدمة التي تحتوي كل منها على مجموعة من الثغرات القادرة على اختراق iPhones و iPads، وسرقة بيانات الشخص، مثل رسائله وبيانات المتصفح وسجل المواقع وتداول العملات المشفرة.
قال الباحثون في مجال الأمن الذين اكتشفوا أدوات القرصنة إن ثغرات Coruna يمكن أن تخترق iPhones و iPads التي تعمل بنظام iOS 13 حتى iOS 17.2.1، الذي تم إصداره في ديسمبر 2023.
ومع ذلك، احتوت DarkSword على ثغرات قادرة على اختراق أجهزة iPhone و iPad التي تعمل بأحدث الإصدارات من iOS 18.4 و 18.7، التي تم إصدارها في سبتمبر 2025، وفقًا للباحثين الأمنيين من Google الذين يحققون في الكود.
لكن التهديد من DarkSword أكثر إلحاحًا على العامة. فقد تم تسريب جزء من DarkSword ونشره على موقع مشاركة الأكواد GitHub، مما يجعل من السهل على أي شخص تنزيل الكود الضار وإطلاق هجمات خاصة بهم تستهدف مستخدمي Apple الذين يستخدمون إصدارات أقدم من iOS.
كيف تعمل Coruna و DarkSword؟
هذه الأنواع من الهجمات تُعتبر بطبيعتها عشوائية وخطيرة، لأنها يمكن أن تصطاد أي شخص يزور موقعًا معينًا يستضيف الكود الضار.
اتصل بنا
هل لديك مزيد من المعلومات حول DarkSword أو Coruna أو أدوات القرصنة والتجسس الحكومية الأخرى؟ يمكنك الاتصال بلورينزو فرانسسكي-بيتشيراي بأمان على Signal على الرقم +1 917 257 1382، أو عبر Telegram أو Keybase أو Wire @lorenzofb، أو عبر البريد الإلكتروني.
في بعض الحالات، يمكن أن يتم اختراق الضحايا ببساطة عن طريق زيارة موقع شرعي تحت سيطرة المخترقين الخبيثين.
عند إصابة الضحايا في البداية، تستغل Coruna و DarkSword عدة ثغرات في iOS تسمح للقراصنة بالتحكم بالكامل في جهاز الهدف، مما يسمح لهم بسرقة البيانات الخاصة بالشخص. ثم يتم رفع البيانات إلى خادم ويب تديره مجموعة القراصنة.
يقول TechCrunch إن بعض أجزاء مجموعة أدوات Coruna، كما أفادت تقارير سابقة، تم تطويرها في الأصل بواسطة Trenchant، وهي وحدة قرصنة وتجسس داخل المقاول الدفاعي الأمريكي L3Harris، التي تبيع الثغرات للحكومة الأمريكية وأعلى حلفائها.
كما ربطت Kaspersky بين ثغرتين في مجموعة أدوات Coruna وعملية Triangulation، وهي هجوم إلكتروني معقد يقودها على الأرجح الحكومة والذي تم تنفيذه ضد مستخدمي iPhone الروس.
بعد أن طورت Trenchant Coruna – بطريقة ما، ليس من الواضح كيف – وجدت هذه الثغرات طريقها إلى أيدي جواسيس روس ومجرمين إلكترونيين صينيين، ربما من خلال وسيط أو عدة وسطاء يقومون ببيع الثغرات في السوق السوداء.
ترحلات Coruna تظهر مرة أخرى أن أدوات القرصنة القوية، بما في ذلك تلك التي تم تطويرها للولايات المتحدة تحت قيود صارمة على السرية، يمكن أن تتسرب وتنتشر خارج السيطرة.
كان أحد الأمثلة على ذلك في عام 2017 عندما تسربت ثغرة تم تطويرها بواسطة وكالة الأمن القومي الأمريكية، والتي كانت قادرة على اختراق أجهزة الكمبيوتر التي تعمل بنظام Windows حول العالم عن بُعد. تم استخدام نفس الثغرة في هجوم الفدية المدمر WannaCry، الذي اخترق بشكل عشوائي مئات الآلاف من أجهزة الكمبيوتر حول العالم.
في حالة DarkSword، لاحظ الباحثون هجمات تستهدف مستخدمين في الصين وماليزيا وتركيا والسعودية وأوكرانيا. لا يزال غير واضح من الذي طور DarkSword في الأصل، وكيف انتهى بها المطاف مع مجموعات قرصنة مختلفة، أو كيف تم تسريب الأدوات عبر الإنترنت.
من غير الواضح من الذي سرب ونشر عبر الإنترنت على GitHub، أو لأي سبب كان.
الأدوات القابلة للقرصنة، التي شاهدها TechCrunch، مكتوبة بلغات الويب HTML و JavaScript، مما يجعلها سهلة التكوين والاستضافة الذاتية في أي مكان من قبل أي شخص يرغب في إطلاق هجمات ضارة. (لا يرتبط TechCrunch بـ GitHub لأن الأدوات يمكن استخدامها في هجمات ضارة.) وقد اختبر الباحثون الذين ينشرون على X بالفعل الأدوات المسربة عن طريق اختراق أجهزتهم الخاصة من Apple التي تعمل بإصدارات ضعيفة من برامج الشركة.
DarkSword الآن “أساسية للتوصيل والتشغيل”، كما أوضح جاستن ألبريخت، الباحث الرئيسي في شركة Lookout لأمن الهواتف المحمولة، لـ TechCrunch.
أخبر GitHub TechCrunch أنه لم يتم حذف الكود المسرب، لكنه سيحتفظ به لأغراض البحث الأمني.
“تحظر سياسات الاستخدام المقبول الخاصة بـ GitHub نشر محتوى يدعم مباشرة الهجمات النشطة غير القانونية أو حملات البرمجيات الضارة التي تسبب أضرارًا تقنية”، كما أخبر جي سي غيراسي، أحد مستشاري السلامة على الإنترنت في GitHub، TechCrunch. “ومع ذلك، نحن لا نحظر نشر كود المصدر الذي قد يستخدم لتطوير البرمجيات الضارة أو الثغرات، حيث أن نشر وتوزيع مثل هذا الكود له قيمة تعليمية ويوفر فائدة صافية لمجتمع الأمان.”
هل جهازي iPhone أو iPad معرضان لـ DarkSword؟
إذا كان لديك جهاز iPhone أو iPad غير محدث، يجب أن تفكر في التحديث على الفور.
أخبرت Apple TechCrunch أن المستخدمين الذين يعملون بأحدث إصدارات iOS 15 إلى iOS 26 محميون بالفعل.
وفقًا لـ iVerify: “نوصي بشدة بتحديث إلى iOS 18.7.6 أو iOS 26.3.1. سيساهم ذلك في تقليل جميع الثغرات التي تم استغلالها في سلاسل الهجوم هذه.”
وفقًا لإحصائيات Apple الخاصة، لا يزال حوالي ثلث مستخدمي iPhone و iPad غير يعملين بأحدث إصدار من برمجيات iOS 26. وهذا يعني أن هناك مئات الملايين من الأجهزة المعرضة لهذه الأدوات القرصنة، حيث تفتخر Apple بأكثر من 2.5 مليار جهاز نشط حول العالم.
ماذا لو لم أستطع أو لا أريد التحديث إلى iOS 26؟
كما قالت Apple إن الأجهزة التي تعمل بوضع إغلاق، وهو ميزة أمنية اختيارية تم تقديمها لأول مرة في iOS 16، تمنع أيضًا هذه الهجمات المحددة.
وضع الإغلاق مفيد للصحفيين والمعارضين وناشطي حقوق الإنسان، وأي شخص يعتقد أنه قد يستهدف بسبب هويته أو عمله.
بينما وضع الإغلاق ليس مثاليًا، لم توجد أي أدلة علنية حتى الآن على أن القراصنة تمكنوا من تجاوز حمايته. (سألنا Apple إذا كان هذا الادعاء لا يزال صحيحًا، وسنحدث ذلك إذا تلقينا ردًا.) وقد وُجد أن وضع الإغلاق منع على الأقل محاولة واحدة لزرع برامج تجسس على هاتف مدافع عن حقوق الإنسان.