Güvenlik araştırmacıları, dünya genelindeki Apple kullanıcılarını hedef alan bir dizi siber saldırıyı gün yüzüne çıkardı. Bu saldırılarda kullanılan araçlar, Coruna ve DarkSword olarak adlandırıldı ve hem devlet casusları hem de siber suçlular tarafından insanların iPhone ve iPad’lerinden veri çalmak için kullanıldı.
iPhone ve iPad kullanıcılarını hedef alan yaygın saldırılar görmek oldukça nadir. Son on yılda, buna benzer tek örnekler Çin’deki Uygur Müslümanlarına ve Hong Kong’daki insanlara yönelik saldırılardı.
Güçlü sızma araçlarından bazıları şimdi çevrimiçi sızdırıldı ve bu durum, eski yazılımlarla çalışan yüz milyonlarca iPhone ve iPad’in veri hırsızlığı riski altında olmasına yol açtı.
Bu yeni iPhone ve iPad sızma tehditleri hakkında bildiklerimizi ve bilmediklerimizi derliyoruz ve korunmak için neler yapabileceğinizi inceliyoruz.
Coruna ve DarkSword Nedir?
Coruna ve DarkSword, iPhone ve iPad’lere sızma ve kişisel verileri (mesajlar, tarayıcı verileri, konum geçmişi ve kripto paralar gibi) çalma yeteneğine sahip bir dizi gelişmiş sızma araçlarıdır.
Bu araçları bulan güvenlik araştırmacıları, Coruna’nın sızma araçlarının, Aralık 2023’te piyasaya sürülen iOS 13 ile iOS 17.2.1 arasında çalışan iPhone ve iPad’lere sızabildiğini belirtti.
DarkSword ise, Eylül 2025’te piyasaya sürülen iOS 18.4 ve 18.7 sürümlerinde çalışan daha yeni cihazları hedef alabilen sızmalara sahipti.
Ancak DarkSword’dan gelen tehdit, genel kamu için daha acil. DarkSword’ın bir kısmı sızdırıldı ve GitHub gibi kod paylaşım sitelerinde yayımlandı; bu da herkesin kötü amaçlı kodu indirmesi ve eski sürüm iOS kullanan Apple kullanıcılarına yönelik kendi saldırılarını başlatmasını kolaylaştırdı.
Coruna ve DarkSword Nasıl Çalışır?
Bu tür saldırılar, tanım gereği herkesi kapsayan ve tehlikeli saldırılardır; çünkü kötü niyetli kod barındıran belirli bir web sitesini ziyaret eden herkes bu saldırılara maruz kalabilir.
Kurbanlar başlangıçta enfekte olduklarında, Coruna ve DarkSword, iOS’taki bazı güvenlik açıklarını kullanarak hackerların hedef cihazın tam kontrolünü ele geçirmesine ve kişisel verileri çalmasına olanak tanır. Bu veriler daha sonra hackerlar tarafından işletilen bir web sunucusuna yüklenir.
Coruna aracının bazı bileşenlerinin, ABD savunma yüklenicisi L3Harris’in bir hacking ve casusluk birimi olan Trenchant tarafından geliştirildiği, bu birimin sızma araçlarını ABD hükümeti ve müttefiklerine sattığı belirtiliyor.
Kaspersky, Coruna’nın araç setindeki iki sızmayı, Rus iPhone kullanıcılarına yönelik gerçekleştirilen, büyük olasılıkla devlet destekli bir siber saldırı olan Triangulation Operasyonu ile ilişkilendirdi.
Trenchant, Coruna’yı geliştirdikten sonra, bu sızmaların Rus casuslarının ve Çinli siber suçlularının eline nasıl geçtiği belirsizliğini koruyor. Bu durum, güçlü sızma araçlarının, ABD hükümeti gibi gizlilik kısıtlamaları altında geliştirilenlerin bile nasıl sızabileceğini ve kontrolsüz bir şekilde yayılabileceğini gösteriyor.
Bir örnek, 2017 yılında ABD Ulusal Güvenlik Ajansı tarafından geliştirilen bir sızmanın çevrimiçi sızdırılmasıydı ve bu sızma, dünya çapında Windows bilgisayarlarına uzaktan girebiliyordu. Aynı sızma daha sonra, WannaCry fidye yazılımı saldırısında kullanıldı ve dünyadaki yüz binlerce bilgisayara yayılmış oldu.
DarkSword ile ilgili olarak, araştırmacılar Çin, Malezya, Türkiye, Suudi Arabistan ve Ukrayna’daki kullanıcıları hedef alan saldırılar gözlemledi. DarkSword’ı kimin geliştirdiği, hangi hacking gruplarının eline geçtiği ve araçların çevrimiçi olarak nasıl sızdırıldığı belirsizliğini koruyor.
Sızdırılan ve GitHub’a yüklenen kodun kimin tarafından yayımlandığı veya neden yayımlandığı ise net değil.
TechCrunch tarafından görülen bu sızma araçları, HTML ve JavaScript gibi web dilleriyle yazılmıştır ve bu durum, bunları kötü amaçlı saldırılar başlatmak isteyen herkesin kolayca yapılandırıp kendi sunucularında barındırmasına olanak tanıyor. Araştırmacılar, sızdırılan araçlarla kendi Apple cihazlarına saldırılar düzenleyerek bu araçları test etti.
DarkSword artık “temelde tak-çalıştır” şeklinde çalışıyor. GitHub ise sızdırılan kodu kaldırmadığını, ancak güvenlik araştırmaları için saklayacağını belirtti.
GitHub’ın Çevrimiçi Güvenlik Danışmanı Jesse Geraci, “GitHub’ın Kabul Edilebilir Kullanım Politikası, teknik zarara yol açan yasadışı aktif saldırı veya kötü amaçlı yazılım kampanyalarını doğrudan destekleyen içeriklerin paylaşımını yasaklamaktadır” diyerek belirli bir netlik sağladı.
iPhone veya iPad’imin DarkSword’dan Etkilenmesi Mümkün mü?
Eğer güncel bir iPhone veya iPad’iniz yoksa, hemen güncelleme yapmayı düşünmelisiniz.
Apple, en son iOS 15 ile iOS 26 sürümlerini kullanan kullanıcıların zaten korunduğunu belirtti.
Alanında uzman olan iVerify: “iOS 18.7.6 veya iOS 26.3.1’e güncellemeyi şiddetle tavsiye ediyoruz. Bu, bu saldırı zincirlerinde kullanılan tüm zafiyetleri ortadan kaldıracaktır.”
Apple’ın kendi istatistiklerine göre, neredeyse her üç iPhone ve iPad kullanıcısından biri hala en son iOS 26 yazılımını kullanmıyor. Bu da, Apple’ın dünya çapında 2.5 milyardan fazla aktif cihazı olduğu göz önüne alındığında, bu sızma araçlarına karşı savunmasız olan yüz milyonlarca cihaz olduğu anlamına geliyor.
Güncel iOS 26’ya Güncellemeyi İstemiyorsam veya Yapamıyorsam Ne Olacak?
Apple ayrıca, iOS 16’yla birlikte tanıtılan bir ekstra güvenlik özelliği olan Kilit Modu’nun da bu belirli saldırıları engellediğini belirtti.
Kilit Modu, gazeteciler, muhalifler, insan hakları aktivistleri ve hedef alınabileceğini düşünen herkes için faydalıdır. Bu mod mükemmel değildir, ancak hackerların bugüne kadar onun korumalarını aşabildiğine dair herhangi bir kamuya açık kanıt yoktur.
Kilit Modu’nun, bir insan hakları savunucusunun telefonuna casus yazılım yerleştirmeyi engellediğine dair en az bir örnek tespit edilmiştir.
Sizce bu tür sızma araçlarına karşı almak istediğiniz önlemler neler olmalı?
