Схема злому смартфонів Apple iPhone під назвою Coruna, яку американський підрядник розробив на замовлення влади США, вийшла з-під контролю й потрапила до рук сторонніх хакерів. Тепер її застосовують для атак на пристрої жертв із політичними та фінансовими мотивами, з’ясували дослідники з кібербезпеки компаній iVerify та Google.
Coruna — складний набір інструментів для злому iPhone, що об’єднує п’ять методів проникнення, які дають змогу обійти всі захисні механізми пристрою й непомітно встановити шкідливе програмне забезпечення (ПЗ). Жертві для цього достатньо відвідати сайт зі шкідливим кодом. Загалом схема експлуатує 23 вразливості iOS — рідкісний показник, що свідчить про участь добре фінансованої групи розробників, імовірно пов’язаної з державними структурами.
За даними фахівців iVerify й Google, окремі компоненти Coruna походять від хакерської операції Operation Triangulation, яку «Лабораторія Касперського» виявила 2023 року. На думку дослідників, схему розробила або придбала американська влада. У компанії iVerify зазначили, що код «надзвичайно складний, його створення коштувало мільйони доларів», а сам інструмент має характерні риси модулів, які публічно приписувалися уряду США.
Показово, що Coruna вийшла за межі первісного призначення й опинилась у руках третіх сторін — зокрема кіберзлочинців, яких підтримують іноземні уряди, а також хакерів, що діють із фінансових міркувань. Схожа ситуація склалася 2017 року, коли з Агентства національної безпеки (АНБ) США викрали інструмент EternalBlue для злому Windows — його згодом використали для створення вірусів WannaCry і NotPetya.
Підписуйтесь на Mediasat у Telegram: тут найцікавіші новини ТБ та телекому
У нових версіях iOS 26 компанія Apple усунула вразливості, якими оперує Coruna. Підтверджені атаки стосуються пристроїв під управлінням iOS від версії 13 до 17.2.1. Схема працює через фреймворк Apple WebKit, тож під загрозою опиняються пристрої із застарілими версіями браузера Safari — успішних атак через Chrome або його похідні зафіксувати не вдалося. До того ж під час роботи код перевіряє, чи активовано на iPhone режим безпеки Lockdown Mode, і якщо так — атака зупиняється.
Попри ці обмеження, кількість уражених пристроїв виявилася значною. Разом із партнером фахівці iVerify відстежили один із серверів керування комерційною версією Coruna, яка атакує китайськомовних користувачів, і підрахували: зламано близько 42 000 смартфонів. Масштаби інших кампаній на основі тієї самої схеми встановити не вдалося. Аналіз вихідного коду та його модифікованих версій показав, що зловмисники пристосували інструмент для крадіжки коштів із криптовалютних гаманців, фотографій і електронних листів. Своєю чергою модулі для викрадення даних «написані погано» — на відміну від самого коду експлойта, якість якого дослідники оцінили як дуже високу.
Ймовірним джерелом витоку є ринок брокерів, де дієві схеми атак із використанням вразливостей нульового дня можуть коштувати десятки мільйонів доларів. Ці схеми потім продають для шпигунства, кримінальних і воєнних кібероперацій. Учасники такого ринку зазвичай не дотримуються ексклюзивних домовленостей і готові продати той самий інструмент кільком покупцям, зазначають експерти.
На тлі зростання кіберзагроз компанії шукають нові підходи до захисту. Зокрема, Google запропонувала рішення для захисту протоколу HTTPS від атак квантових комп’ютерів — і зробила це без збільшення розміру TLS-сертифікатів.
