Ένα ισχυρό κιτ εκμετάλλευσης iPhone με το όνομα «Coruna», που αρχικά δημιουργήθηκε για τις δυτικές υπηρεσίες πληροφοριών από τον αμερικανό εργολάβο L3Harris, έπεσε στα χέρια Ρώσων κατασκόπων και Κινέζων εγκληματιών στον κυβερνοχώρο.
Η εργαλειοθήκη Coruna διαθέτει 23 διαφορετικά στοιχεία πειρατείας που έχουν σχεδιαστεί για να θέτουν σε κίνδυνο τα iPhone της Apple.
Η Trenchant το κατασκεύασε αρχικά, το τμήμα χάκερ του αμερικανικού στρατιωτικού εργολάβου L3Harris, για χρήση από τις Ηνωμένες Πολιτείες και τους συμμάχους των πληροφοριών Five Eyes.
Ωστόσο, η εργαλειοθήκη διέρρευσε όταν ο Πίτερ Γουίλιαμς, πρώην γενικός διευθυντής της Trenchant, ενήργησε ως απειλή εκ των έσω και έκλεψε οκτώ από τα εργαλεία της εταιρείας.
Από το 2022 έως το 2025, η Williams πούλησε αυτά τα exploits για 1,3 εκατομμύρια δολάρια στην Operation Zero, έναν ρωσικό μεσίτη εκμετάλλευσης που υπόκειται σε κυρώσεις.
Μετά την απόκτηση των κλεμμένων εργαλείων, η Operation Zero φέρεται να μεταπώλησε το spyware σε μη εξουσιοδοτημένους χρήστες.
Αυτό επέτρεψε σε μια ρωσική ομάδα κατασκοπείας, που προσδιορίστηκε από την Google ως UNC6353, να αναπτύξει την Coruna σε στοχευμένες επιθέσεις κατά των Ουκρανών χρηστών iPhone.
Η εξελιγμένη εργαλειοθήκη αργότερα άλλαξε ξανά χέρια, έπεσε τελικά στα χέρια κινεζικών συμμοριών κυβερνοεγκληματιών που ξεκίνησαν εκστρατείες ευρείας κλίμακας για να κλέψουν χρήματα και κρυπτονομίσματα από ανυποψίαστα θύματα.
Exploits και Operation Triangulation
Η Google και η εταιρεία ασφαλείας iVerify επιβεβαίωσαν ότι η Coruna στοχεύει μοντέλα iPhone με iOS 13 έως 17.2.1.
Η εργαλειοθήκη μοιράζεται εντυπωσιακές ομοιότητες με την Operation Triangulation, μια πολύπλοκη εκστρατεία hacking iPhone που εκτέθηκε από την Kaspersky το 2023.
Συγκεκριμένα, η Coruna επαναχρησιμοποίησε δύο μεγάλα εσωτερικά exploit, το Photon και το Gallium, τα οποία αναπτύχθηκαν ως τρωτά σημεία zero-day στις επιθέσεις Triangulation.
Οι ερευνητές ασφαλείας συνέδεσαν αυτά τα συγκεκριμένα ονόματα εκμετάλλευσης Coruna με γνωστά τρωτά σημεία του iOS.
Το “Photon” συνδέεται με το CVE-2023-32434 και περιγράφεται ως ελάττωμα κλιμάκωσης προνομίων που περιλαμβάνει υπερχείλιση ακέραιου αριθμού στη χαρτογράφηση μνήμης, που επηρεάζει τις εκδόσεις iOS 14.5 έως 15.7.6.
Το “Gallium” συνδέεται με το CVE-2023-38606 και είναι μια αδυναμία εστιασμένη στο υλικό που χρησιμοποιείται για να παρακάμψει το επίπεδο προστασίας σελίδας (PPL) της Apple, επηρεάζοντας τις εκδόσεις iOS που εκτείνονται κατά προσέγγιση από το iOS 14.x έως το 16.6.
Όπως σημειώθηκε από τον ανεξάρτητο ερευνητή ασφάλειας Costin Raiu και τονίστηκε από το TechCrunchτα εσωτερικά ονόματα των μονάδων της Coruna με θέμα τα πουλιά, όπως το Cassowary και το Sparrow, ταιριάζουν με τις συμβάσεις ονομασίας των μονάδων hacking του L3Harris.
Επιπλέον, το προσαρμοσμένο λογότυπο της Kaspersky για το Operation Triangulation μοιάζει πολύ με το γεωμετρικό λογότυπο L3Harris, υπονοώντας διακριτικά τη συμμετοχή του εργολάβου.
Ενώ η ακριβής διαδρομή που ακολούθησαν οι εκμεταλλεύσεις παραμένει ασαφής, η διαρροή υπογραμμίζει τους σοβαρούς κινδύνους όταν τα κυβερνοόπλα εθνικών κρατών πέφτουν στο εγκληματικό υπόγειο.
