Схема взлома смартфонов Apple iPhone под названием Coruna, которую американский подрядчик разработал по заказу властей США, вышла из-под контроля и попала в руки сторонних хакеров. Теперь ее применяют для атак на устройства жертв с политическими и финансовыми мотивами, выяснили исследователи по кибербезопасности компаний iVerify и Google.
Coruna — сложный набор инструментов для взлома iPhone, объединяющий пять методов проникновения, которые позволяют обойти все защитные механизмы устройства и незаметно установить вредоносное программное обеспечение (ПО). Жертве для этого достаточно посетить сайт с вредоносным кодом. В целом схема эксплуатирует 23 уязвимости iOS — редкий показатель, свидетельствующий об участии хорошо финансируемой группы разработчиков, вероятно связанной с государственными структурами.
По данным специалистов iVerify и Google, отдельные компоненты Coruna происходят от хакерской операции Operation Triangulation, которую «Лаборатория Касперского» обнаружила в 2023 году. По мнению исследователей, схему разработали или приобрели американские власти. В компании iVerify отметили, что код «чрезвычайно сложен, его создание стоило миллионы долларов», а сам инструмент имеет характерные черты модулей, которые публично приписывались правительству США.
Показательно, что Coruna вышла за пределы первоначального назначения и оказалась в руках третьих сторон — в частности киберпреступников, которых поддерживают иностранные правительства, а также хакеров, действующих из финансовых соображений. Похожая ситуация сложилась в 2017 году, когда из Агентства национальной безопасности (АНБ) США похитили инструмент EternalBlue для взлома Windows — его впоследствии использовали для создания вирусов WannaCry и NotPetya.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
В новых версиях iOS 26 компания Apple устранила уязвимости, которыми оперирует Coruna. Подтвержденные атаки касаются устройств под управлением iOS от версии 13 до 17.2.1. Схема работает через фреймворк Apple WebKit, поэтому под угрозой оказываются устройства с устаревшими версиями браузера Safari — успешных атак через Chrome или его производные зафиксировать не удалось. К тому же во время работы код проверяет, активирован ли на iPhone режим безопасности Lockdown Mode, и если да — атака останавливается.
Несмотря на эти ограничения, количество пораженных устройств оказалось значительным. Совместно с партнером специалисты iVerify отследили один из серверов управления коммерческой версией Coruna, которая атакует китайскоязычных пользователей, и подсчитали: взломано около 42 000 смартфонов. Масштабы других кампаний на основе той же схемы установить не удалось. Анализ исходного кода и его модифицированных версий показал, что злоумышленники приспособили инструмент для кражи средств из криптовалютных кошельков, фотографий и электронных писем. В свою очередь, модули для похищения данных «написаны плохо» — в отличие от самого кода эксплойта, качество которого исследователи оценили как очень высокое.
Вероятным источником утечки является рынок брокеров, где действенные схемы атак с использованием уязвимостей нулевого дня могут стоить десятки миллионов долларов. Эти схемы затем продают для шпионажа, криминальных и военных киберопераций. Участники такого рынка обычно не соблюдают эксклюзивные договоренности и готовы продать один и тот же инструмент нескольким покупателям, отмечают эксперты.
На фоне роста киберугроз компании ищут новые подходы к защите. В частности, Google предложила решение для защиты протокола HTTPS от атак квантовых компьютеров — и сделала это без увеличения размера TLS-сертификатов.
