Μια εκστρατεία μαζικής πειρατείας που στόχευε χρήστες iPhone στην Ουκρανία και την Κίνα χρησιμοποίησε εργαλεία που πιθανότατα σχεδιάστηκαν από τον στρατιωτικό ανάδοχο των ΗΠΑ L3Harris, σύμφωνα με το TechCrunch. Τα εργαλεία, τα οποία προορίζονταν για δυτικούς κατασκόπους, περιήλθαν στα χέρια διαφόρων ομάδων hacking, συμπεριλαμβανομένων τρομοκρατών της ρωσικής κυβέρνησης και Κινέζων εγκληματιών στον κυβερνοχώρο.
Την περασμένη εβδομάδα, η Google αποκάλυψε ότι κατά τη διάρκεια του 2025 ανακάλυψε ότι μια εξελιγμένη εργαλειοθήκη hacking iPhone είχε χρησιμοποιηθεί σε μια σειρά παγκόσμιων επιθέσεων. Η εργαλειοθήκη, που ονομάστηκε “Coruna” από τον αρχικό προγραμματιστή της, κατασκευάστηκε από 23 διαφορετικά εξαρτήματα που χρησιμοποιήθηκαν για πρώτη φορά “σε εξαιρετικά στοχευμένες λειτουργίες” από έναν ανώνυμο κρατικό πελάτη ενός απροσδιόριστου “πωλητή επιτήρησης”. Στη συνέχεια χρησιμοποιήθηκε από κατασκόπους της ρωσικής κυβέρνησης εναντίον περιορισμένου αριθμού Ουκρανών και, τέλος, από Κινέζους κυβερνοεγκληματίες «σε ευρεία κλίμακα» εκστρατείες με στόχο την κλοπή χρημάτων και κρυπτονομισμάτων.
Ερευνητές στην εταιρεία κινητής τηλεφωνίας iVerify, η οποία ανέλυσε ανεξάρτητα την Κορούνιαείπε ότι πίστευαν ότι μπορεί να κατασκευάστηκε αρχικά από μια εταιρεία που το πούλησε στην κυβέρνηση των ΗΠΑ.
Δύο πρώην υπάλληλοι του κυβερνητικού εργολάβου L3Harris είπαν στο TechCrunch ότι η Coruna αναπτύχθηκε, τουλάχιστον εν μέρει, από το τμήμα τεχνολογίας hacking και επιτήρησης της εταιρείας, Trenchant. Οι δύο πρώην υπάλληλοι είχαν και οι δύο γνώση των εργαλείων hacking iPhone της εταιρείας. Και οι δύο μίλησαν υπό τον όρο της ανωνυμίας επειδή δεν είχαν εξουσιοδότηση να μιλήσουν για τη δουλειά τους για την εταιρεία.
«Το Coruna ήταν σίγουρα ένα εσωτερικό όνομα ενός συστατικού», είπε ένας πρώην υπάλληλος του L3Harris, ο οποίος ήταν εξοικειωμένος με τα εργαλεία hacking του iPhone ως μέρος της δουλειάς του στην Trenchant.
«Κοιτάζοντας τις τεχνικές λεπτομέρειες», είπε αυτό το άτομο, αναφερόμενο σε ορισμένα από τα στοιχεία που δημοσίευσε η Google, «τόσα πολλά είναι γνωστά».
Επικοινωνήστε μαζί μας
Έχετε περισσότερες πληροφορίες σχετικά με την Coruna ή άλλα κυβερνητικά εργαλεία hacking και spyware; Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram, Keybase και Wire @lorenzofb ή μέσω email.
Ο πρώην υπάλληλος είπε ότι η γενική εργαλειοθήκη Trenchant φιλοξενούσε πολλά διαφορετικά στοιχεία, συμπεριλαμβανομένης της Coruna και των σχετικών εκμεταλλεύσεων. Ένας άλλος πρώην υπάλληλος επιβεβαίωσε ότι ορισμένες από τις λεπτομέρειες που περιλαμβάνονται στη δημοσιευμένη εργαλειοθήκη hacking προέρχονται από την Trenchant.
Το L3Harris πουλά τα εργαλεία hacking και παρακολούθησης της Trenchant αποκλειστικά στην κυβέρνηση των ΗΠΑ και τους συμμάχους της στη λεγόμενη συμμαχία πληροφοριών Five Eyes, η οποία περιλαμβάνει την Αυστραλία, τον Καναδά, τη Νέα Ζηλανδία και το Ηνωμένο Βασίλειο. Δεδομένου του περιορισμένου αριθμού πελατών της Trenchant, είναι πιθανό η Coruna να αποκτήθηκε και να χρησιμοποιήθηκε αρχικά από μια από τις υπηρεσίες πληροφοριών αυτών των κυβερνήσεων πριν πέσει σε ακούσια χέρια, αν και δεν είναι σαφές πόσο από τη δημοσιευμένη εργαλειοθήκη hacking Coruna αναπτύχθηκε από την L3Harris Trenchant.
Ένας εκπρόσωπος του L3Harris δεν απάντησε σε αίτημα για σχόλιο.
Το πώς η Coruna πήγε από τα χέρια ενός κυβερνητικού εργολάβου Five Eyes σε μια ρωσική κυβερνητική ομάδα χάκερ και στη συνέχεια σε μια κινεζική συμμορία εγκλήματος στον κυβερνοχώρο είναι ασαφές.
Αλλά ορισμένες από τις περιστάσεις φαίνονται παρόμοιες με την περίπτωση του Peter Williams, πρώην γενικού διευθυντή της Trenchant. Από το 2022 μέχρι την παραίτησή του στα μέσα του 2025, ο Williams πούλησε οκτώ εταιρικά εργαλεία hacking στην Operation Zero, μια ρωσική εταιρεία που προσφέρει εκατομμύρια δολάρια σε αντάλλαγμα για zero-day exploits, δηλαδή ευπάθειες που είναι άγνωστες στον επηρεαζόμενο πωλητή.
Ο Williams, ένας 39χρονος Αυστραλός πολίτης, καταδικάστηκε σε επτά χρόνια φυλάκιση τον περασμένο μήνα, αφού παραδέχτηκε ότι έκλεψε και πούλησε τα οκτώ εργαλεία hacking του Trenchant στην Operation Zero για 1,3 εκατομμύρια δολάρια.
Η κυβέρνηση των ΗΠΑ είπε ότι ο Williams, ο οποίος εκμεταλλεύτηκε την «πλήρη πρόσβαση» στα δίκτυα του Trenchant, «πρόδωσε» τις Ηνωμένες Πολιτείες και τους συμμάχους τους. Οι εισαγγελείς τον κατηγόρησαν για διαρροή εργαλείων που θα μπορούσαν να επιτρέψουν σε όποιον τα χρησιμοποιούσε να έχει «δυνητική πρόσβαση σε εκατομμύρια υπολογιστές και συσκευές σε όλο τον κόσμο», υποδηλώνοντας ότι τα εργαλεία βασίζονται σε ευπάθειες που επηρεάζουν ευρέως χρησιμοποιούμενο λογισμικό όπως το iOS.
Η Operation Zero, η οποία επιβλήθηκε από την αμερικανική κυβέρνηση τον περασμένο μήνα, ισχυρίζεται ότι συνεργάζεται αποκλειστικά με τη ρωσική κυβέρνηση και τοπικές εταιρείες. Το Υπουργείο Οικονομικών των ΗΠΑ ισχυρίστηκε ότι ο Ρώσος μεσίτης πούλησε τα «κλεμμένα εργαλεία» της Williams σε τουλάχιστον έναν μη εξουσιοδοτημένο χρήστη.
Αυτό θα εξηγούσε πώς η ρωσική ομάδα κατασκοπείας, την οποία η Google έχει αναγνωρίσει μόνο ως UNC6353, απέκτησε την Coruna και την ανέπτυξε σε παραβιασμένους ιστότοπους της Ουκρανίας, ώστε να χακάρει ορισμένους χρήστες iPhone από μια συγκεκριμένη γεωγραφική τοποθεσία που επισκέπτονταν άθελά τους τον κακόβουλο ιστότοπο.
Είναι πιθανό ότι από τη στιγμή που η Operation Zero απέκτησε την Coruna και πιθανώς την πούλησε στη ρωσική κυβέρνηση, ο μεσίτης στη συνέχεια μεταπώλησε την εργαλειοθήκη σε κάποιον άλλο, ίσως σε άλλο μεσίτη, σε άλλη χώρα, ή ακόμα και απευθείας σε εγκληματίες του κυβερνοχώρου. Το Υπουργείο Οικονομικών ισχυρίστηκε ότι ένα μέλος της συμμορίας ransomware Trickbot συνεργάστηκε με το Operation Zero, συνδέοντας τον μεσίτη με χάκερ με οικονομικά κίνητρα.
Σε εκείνο το σημείο, η Coruna μπορεί να είχε περάσει σε άλλα χέρια μέχρι να φτάσει σε Κινέζους χάκερ. Σύμφωνα με τους εισαγγελείς των ΗΠΑ, ο Ουίλιαμς αναγνώρισε τον κώδικα που έγραψε και πούλησε στην Operation Zero και χρησιμοποιήθηκε αργότερα από έναν Νοτιοκορεάτη μεσίτη.
Λειτουργία Τριγωνοποίηση
Οι ερευνητές της Google έγραψαν την Τρίτη ότι δύο συγκεκριμένες εκμεταλλεύσεις Coruna και υποκείμενα τρωτά σημεία, που ονομάζονται Photon και Gallium από τους αρχικούς προγραμματιστές τους, χρησιμοποιήθηκαν ως zero-days στην Operation Triangulation, μια εξελιγμένη εκστρατεία hacking που φέρεται να χρησιμοποιείται εναντίον Ρώσων χρηστών iPhone. Το Operation Triangulation αποκαλύφθηκε για πρώτη φορά από την Kaspersky το 2023.
Ο Rocky Cole, ο συνιδρυτής του iVerify, είπε στο TechCrunch ότι «η καλύτερη εξήγηση που βασίζεται σε όσα είναι γνωστά αυτή τη στιγμή» δείχνει ότι η Trenchant και η κυβέρνηση των ΗΠΑ είναι οι αρχικοί προγραμματιστές και πελάτες της Coruna. Αν και, πρόσθεσε ο Cole, δεν το ισχυρίζεται αυτό «οριστικά».
Αυτή η εκτίμηση, είπε, βασίζεται σε τρεις παράγοντες. Το χρονοδιάγραμμα της χρήσης της Coruna ευθυγραμμίζεται με τις διαρροές της Williams, η δομή τριών μονάδων – Plasma, Photon και Gallium – που βρέθηκαν στην Coruna έχουν έντονες ομοιότητες με το Triangulation και η Coruna χρησιμοποίησε ξανά μερικά από τα ίδια exploits που χρησιμοποιήθηκαν σε αυτή τη λειτουργία, είπε.
Σύμφωνα με τον Cole, «άτομα κοντά στην αμυντική κοινότητα» ισχυρίζονται ότι το Plasma χρησιμοποιήθηκε στην Επιχείρηση Triangulation, «αν και δεν υπάρχουν δημόσια στοιχεία για αυτό». (Ο Κόουλ εργαζόταν στο παρελθόν στην Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ.)
Σύμφωνα με την Google και το iVerify, η Coruna σχεδιάστηκε για να χακάρει μοντέλα iPhone με iOS 13 έως 17.2.1, που κυκλοφόρησε μεταξύ Σεπτεμβρίου 2019 και Δεκεμβρίου 2023. Αυτές οι ημερομηνίες συνάδουν με το χρονοδιάγραμμα ορισμένων από τις διαρροές της Williams και την ανακάλυψη της Operation Triangulation.
Ένας από τους πρώην υπαλλήλους της Trenchant είπε στο TechCrunch ότι όταν το Triangulation αποκαλύφθηκε για πρώτη φορά το 2023, άλλοι υπάλληλοι της εταιρείας πίστευαν ότι τουλάχιστον μία από τις zero-days που έπιασε η Kaspersky «ήταν από εμάς και δυνητικά «εξαιρέθηκε» από το» γενικό έργο που περιελάμβανε την Coruna.
Μια άλλη φρυγανιά που δείχνει το Trenchant — όπως σημείωσε ο ερευνητής ασφάλειας Costin Raiu — είναι η χρήση ονομάτων πουλιών για μερικά από τα 23 εργαλεία, όπως Cassowary, Terrorbird, Bluebird, Jacurutu και Sparrow. Το 2021, αποκάλυψε η Washington Post εκείνο το Αζιμούθ, μία από τις δύο startups αργότερα αποκτήθηκε από τον L3Harris και συγχωνεύτηκαν στο Trenchantείχε πουλήσει ένα εργαλείο χάκερ με το όνομα Condor στο FBI στην περίφημη θήκη σπασίματος iPhone του San Bernardino.
Αφού η Kaspersky δημοσίευσε την έρευνά της για την Επιχείρηση Τριγωνοποίηση, η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB) κατηγόρησε την NSA ότι χάκαρε «χιλιάδες» iPhone στη Ρωσία, στοχεύοντας ιδιαίτερα διπλωμάτες. Ένας εκπρόσωπος της Kaspersky είπε τότε ότι η εταιρεία δεν είχε πληροφορίες για τους ισχυρισμούς της FSB. Ο εκπρόσωπος σημείωσε ότι «οι δείκτες συμβιβασμού» – που σημαίνει αποδεικτικά στοιχεία για μια εισβολή – που εντοπίστηκαν από το Ρωσικό Εθνικό Κέντρο Συντονισμού για Συμβάντα Υπολογιστών (NCCCI) ήταν οι ίδιοι που είχε εντοπίσει η Kaspersky.
Ο Boris Larin, ερευνητής ασφαλείας στην Kaspersky, είπε στο TechCrunch σε ένα email ότι «παρά την εκτεταμένη έρευνά μας, δεν είμαστε σε θέση να αποδώσουμε το Operation Triangulation σε κανένα γνωστό [Advanced Persistent Threat] εταιρεία ανάπτυξης ομίλου ή εκμετάλλευσης».
Ο Larin εξήγησε ότι η Google συνέδεσε την Coruna με την Operation Triangulation επειδή και οι δύο εκμεταλλεύονται τα ίδια δύο τρωτά σημεία – το Photon και το Gallium.
“Η απόδοση δεν μπορεί να βασίζεται αποκλειστικά στο γεγονός της εκμετάλλευσης αυτών των τρωτών σημείων. Όλες οι λεπτομέρειες και των δύο τρωτών σημείων είναι από καιρό διαθέσιμες στο κοινό”, είπε, προσθέτοντας ότι αυτές οι δύο κοινές ευπάθειες “είναι απλώς η κορυφή του παγόβουνου”.
Η Kaspersky δεν κατηγόρησε ποτέ δημόσια την κυβέρνηση των ΗΠΑ ότι βρίσκεται πίσω από την Επιχείρηση Τριγωνοποίηση. Περιέργως, το λογότυπο που δημιούργησε η εταιρεία για την καμπάνια είναι ένα λογότυπο apple που αποτελείται από πολλά τρίγωνα — θυμίζει το λογότυπο L3Harris. Μπορεί να μην είναι τυχαίο. Η Kaspersky είχε δηλώσει προηγουμένως ότι δεν θα απέδιδε δημόσια μια εκστρατεία hacking, ενώ σιωπηλά σηματοδοτούσε ότι γνώριζε πραγματικά ποιος ήταν πίσω από αυτήν ή ποιος παρείχε τα εργαλεία για αυτήν.
Το 2014, η Kaspersky ανακοινώθηκε ότι είχε συλλάβει μια εξελιγμένη και άπιαστη κυβερνητική ομάδα hacking γνωστή ως «Careto» (στα ισπανικά «The Mask»). Η εταιρεία είπε μόνο ότι οι χάκερ μιλούσαν ισπανικά. Αλλά η απεικόνιση μιας μάσκας που χρησιμοποίησε η εταιρεία στην έκθεσή της περιελάμβανε τα κόκκινα και κίτρινα χρώματα της σημαίας της Ισπανίας, τα κέρατα και το δαχτυλίδι της μύτης του ταύρου και τις καστανιέτες.
Όπως αποκάλυψε το TechCrunch πέρυσι, οι ερευνητές της Kaspersky είχαν καταλήξει ιδιωτικά στο συμπέρασμα ότι «δεν υπήρχε αμφιβολία», όπως το έθεσε ένας από αυτούς, ότι το Careto διοικούνταν από την ισπανική κυβέρνηση.
Την Τετάρτη, ο δημοσιογράφος κυβερνοασφάλειας Πάτρικ Γκρέι είπε σε ένα επεισόδιο του podcast του Risky Business ότι σκέφτηκε – με βάση τα “κομμάτια” για τα οποία ήταν σίγουρος – ότι αυτό που διέρρευσε ο Williams στην Operation Zero ήταν το κιτ hacking που χρησιμοποιήθηκε στην εκστρατεία Triangulation.
Η Apple, η Google, η Kaspersky και η Operation Zero δεν απάντησαν σε αιτήματα για σχολιασμό.
Via: techcrunch.com
