Coruna, un set de instrumente de hacking pentru iPhone despre care se crede că a aparținut guvernului SUA, se află acum în mâinile spionilor și infractorilor străini

Cercetătorii în domeniul securității au identificat o suită de instrumente de hacking puternice, capabile să compromită iPhone-urile care rulează software mai vechi. Aceștia afirmă că instrumentele au trecut de la un client guvernamental în mâinile infractorilor cibernetici, potrivit Wired. Setul puternic de instrumente de hacking, aflat în centrul mai multor campanii de exploatare în masă a iPhone-urilor, pare să fi trecut din mâinile spionilor ruși, care l-au folosit pentru a viza ucrainenii, și a apărut într-o operațiune cibercriminală menită să fure criptomonede de la victime vorbitoare de limbă chineză. Unele indicii arată că acesta a fost creat inițial de un contractor american și vândut guvernului american.

Coruna profită de 23 de vulnerabilități distincte în iOS

Cercetătorii în domeniul securității de la Google au publicat marți un raport în care descriu ceea ce ei numesc „Coruna”, un set de instrumente de hacking pentru iPhone extrem de sofisticat. Acesta include cinci tehnici complete de hacking capabile să ocolească toate sistemele de apărare ale unui iPhone pentru a instala în mod silențios malware pe un dispozitiv atunci când acesta vizitează un site web care conține codul de exploatare. În total, Coruna profită de 23 de vulnerabilități distincte în iOS, o colecție rară de componente de hacking care indică faptul că a fost creată de un grup de hackeri cu resurse considerabile, probabil sponsorizat de stat.

Kitul Coruna conține cinci lanțuri complete de exploatare iOS, cele mai sofisticate tehnici non-publice pentru versiunile iOS 13.0 până la 17.2.1 (lansat în decembrie 2023). Google adaugă că Coruna a folosit chiar și unele „tehnici de exploatare și ocoliri ale măsurilor de atenuare care nu sunt publice” atunci când vizează iPhone-urile vulnerabile. Compania spune că analiza sa este încă în curs, astfel încât 11 dintre exploatări nu au primit încă un număr oficial de identificare CVE. În plus, Google nu știe dacă cinci dintre exploatările care nu sunt publice au fost remediate, deși atacurile au fost concepute pentru a viza versiunile mai vechi ale iOS.

O suită utilizată de infractorii cibernetici

Google a observat componentele Coruna pentru prima dată în februarie anul trecut și le-a atribuit unui actor descris doar drept „client al unei companii de supraveghere”. Apoi, cinci luni mai târziu, Google afirmă că o versiune mai completă a Coruna a reapărut în ceea ce pare să fi fost o campanie de spionaj desfășurată de un grup rus suspectat de spionaj, care a ascuns codul de hacking într-o componentă comună de numărare a vizitatorilor a site-urilor web ucrainene. În cele din urmă, Google a observat că Coruna era utilizată din nou în ceea ce pare să fi fost o campanie de hacking axată exclusiv pe profit, prin infectarea site-urilor de criptomonede și jocuri de noroc în limba chineză pentru a livra malware care fură criptomonedele victimelor.

Kitul Coruna bănuit că a fost creat sau achiziționat de guvernul SUA

În raportul Google lipsește în mod evident orice mențiune despre cine ar fi putut fi „clientul” companiei de supraveghere care a implementat Coruna. Dar compania de securitate mobilă iVerify, care a analizat și ea o versiune a Coruna obținută de pe unul dintre site-urile chinezești infectate, arată că codul ar fi putut fi inițial un kit de hacking creat sau achiziționat de guvernul SUA. Atât Google, cât și iVerify observă că Coruna conține mai multe componente utilizate anterior într-o operațiune de hacking cunoscută sub numele de „Triangulation”. Aceasta a fost descoperită în 2023 și viza firma rusă de securitate cibernetică Kaspersky, despre care guvernul rus a afirmat că era opera agenției NSA.

Te-ar putea interesa și: Hacker accidental, un utilizator a preluat fără intenție controlul asupra a aproape 7.000 de roboți de la distanță

Codul Coruna pare să fi fost scris inițial de programatori vorbitori de limbă engleză, observă Rocky Cole, cofondatorul iVerify. „Este extrem de sofisticat, a necesitat milioane de dolari pentru a fi dezvoltat și poartă semnele distinctive ale altor module care au fost atribuite public guvernului SUA”, a declarat Cole pentru WIRED. „Acesta este primul exemplu pe care l-am văzut de instrumente foarte probabil ale guvernului SUA, pe baza a ceea ce ne spune codul, care au scăpat de sub control și sunt utilizate atât de adversarii noștri, cât și de grupurile de criminali cibernetici.”

„Nu este clar cum a avut loc această proliferare, dar faptul acesta arată existența unei piețe active pentru exploatări zero-day „la mâna a doua”, se arată în raportul Google, care folosește termenul zero-day pentru a se referi la tehnici secrete de hacking care exploatează vulnerabilități necorectate. „Dincolo de aceste exploatări identificate, mai mulți actori amenințători au dobândit acum tehnici avansate de exploatare care pot fi reutilizate și modificate cu vulnerabilități recent identificate.”

Momentul EternalBlue pentru malware-ul mobil

Cole, de la iVerify, observă că, dacă Coruna a început într-adevăr ca un instrument destinat guvernului SUA, acest lucru ridică întrebări cu privire la securitatea dispozitivelor mobile într-o lume în care instrumente de hacking extrem de sofisticate, create sau vândute guvernului american, pot ajunge în mâinile adversarilor. „Acesta este momentul EternalBlue pentru malware-ul mobil”, spune Cole. EternalBlue este instrumentul de hacking pentru Windows furat de la Agenția Națională de Securitate și divulgat în 2017, fapt care a dus la utilizarea sa în atacuri cibernetice catastrofale, inclusiv viermele WannaCry din Coreea de Nord și atacul NotPetya din Rusia.

Apple a remediat vulnerabilitățile cunoscute utilizate de Coruna

Google menționează că Apple a remediat vulnerabilitățile utilizate de Coruna în cele mai recente versiuni ale sistemului său de operare mobil, iOS 26, astfel încât tehnicile sale de exploatare funcționează confirmat numai împotriva iOS 13 până la 17.2.1. Acesta vizează vulnerabilitățile din cadrul Webkit al Apple pentru browsere, astfel încât utilizatorii Safari pe acele versiuni mai vechi de iOS ar fi vulnerabili, dar nu există tehnici confirmate în setul de instrumente pentru a viza utilizatorii Chrome. Google notează, de asemenea, că Coruna verifică dacă un dispozitiv iOS are activată cea mai strictă setare de securitate a Apple, cunoscută sub numele de Lockdown Mode, și nu încearcă să îl atace dacă este cazul.

Un singur autor, foarte profesionist

În analiza iVerify a versiunii cibercriminale a Coruna, compania a descoperit că codul părea să fi fost modificat pentru a planta malware pe dispozitivele țintă, cu scopul de a sustrage criptomonede din portofele criptografice, precum și pentru a fura fotografii și, în unele cazuri, e-mailuri. Totuși, aceste adăugiri erau „prost scrise” în comparație cu setul de instrumente Coruna de bază, potrivit directorului de produs al iVerify, Spencer Parker, care l-a considerat impresionant de rafinat și modular.

În ceea ce privește modulele de cod care indică originea Coruna ca set de instrumente al guvernului SUA, Cole de la iVerify subliniază că întregul set de instrumente pare să fi fost creat de un „singur autor”. Se pare că a fost scris ca un întreg și nu pare să fi fost asamblat din mai multe părți.

Industria brokerilor de software pentru spionaj

Dacă Coruna este, de fapt, un set de instrumente de hacking al SUA care a devenit ilegal, modul în care a ajuns în mâinile străinilor și ale criminalilor rămâne un mister. Dar Cole indică industria brokerilor care ar putea plăti zeci de milioane de dolari pentru tehnici de hacking zero-day pe care le pot revinde pentru spionaj, criminalitate cibernetică sau război cibernetic. În mod notabil, Peter Williams, un director al contractorului guvernamental american Trenchant, a fost condamnat luna aceasta la șapte ani de închisoare pentru vânzarea de instrumente de hacking către brokerul rus Operation Zero între 2022 și 2025. În nota de condamnare a lui Williams se menționează că Trenchant a vândut instrumente de hacking comunității de informații din SUA, precum și altor membri ai grupului „Five Eyes” format din guvernele din SUA, Marea Britanie, Australia, Canada și Noua Zeelandă, deși nu este clar ce instrumente specifice a vândut sau ce dispozitive au fost vizate.

„Acești brokeri tind să fie fără scrupule”, spune Cole. „Ei vând celui care oferă cel mai mult și profită de două ori. Mulți dintre ei nu au acorduri de exclusivitate. Este foarte probabil că asta s-a întâmplat și în acest caz: l-a vândut oricui era dispus să plătească”.

Dacă nu puteți actualiza la cea mai nouă versiune de iOS, Google vă recomandă să activați modul Lockdown, introdus de Apple în 2022 pentru a proteja utilizatorii de iPhone de amenințările spyware.