Un set extrem de sofisticat de tehnici de deturnare a iPhone-urilor a infectat probabil zeci de mii de telefoane sau mai multe. Indiciile sugerează că a fost inițial creat pentru guvernul SUA.
O tehnică de hacking iPhone folosită în sălbăticie pentru a deturna în mod nediscriminatoriu dispozitivele oricărui utilizator iOS care doar vizitează un site web reprezintă un eveniment rar și șocant în lumea securității cibernetice. Acum, un toolkit puternic de hacking aflat în centrul mai multor campanii de exploatare în masă a iPhone-urilor a urmat o cale și mai rară și mai tulburătoare: se pare că a călătorit din mâinile spionilor ruși care l-au folosit pentru a viza ucrainenii într-o operațiune de criminalitate cibernetică concepută pentru a fura criptomonede de la victimele vorbitoare de limbă chineză - și unele indicii sugerează că ar fi putut fi creat inițial de un contractor american și vândut guvernului american.
Cercetătorii de securitate de la Google au publicat marți un raport care descrie ceea ce ei numesc „Coruna”, un toolkit de hacking iPhone extrem de sofisticat care include cinci tehnici complete de hacking capabile să ocolească toate apărările unui iPhone pentru a instala în mod silențios malware pe un dispozitiv atunci când vizitează un site web care conține codul de exploatare. În total, Coruna profită de 23 de vulnerabilități distincte în iOS, o colecție rară de componente de hacking care sugerează că a fost creată de un grup de hackeri bine finanțat, probabil sponsorizat de stat.
De fapt, Google urmărește componente ale Corunei până la tehnicile de hacking pe care le-a observat în uz în februarie anul trecut și le-a atribuit ceea ce descrie doar ca fiind un „client al unei companii de supraveghere”. Apoi, cinci luni mai târziu, Google spune că o versiune mai completă a Corunei a reapărut în ceea ce pare să fi fost o campanie de spionaj desfășurată de un grup suspectat de spioni ruși, care au ascuns codul de hacking într-o componentă comună de numărare a vizitatorilor a site-urilor web ucrainene. În cele din urmă, Google a observat Coruna în uz încă o dată în ceea ce pare să fi fost o campanie de hacking pur axată pe profit, infectând site-uri de cripto și jocuri de noroc în limba chineză pentru a livra malware care fură criptomoneda victimelor.
În mod evident absent din raportul Google este orice mențiune despre cine ar fi putut fi inițialul „client” al companiei de supraveghere care a implementat Coruna. Dar compania de securitate mobilă iVerify, care a analizat, de asemenea, o versiune a Corunei pe care a obținut-o de pe unul dintre site-urile chineze infectate, sugerează că codul ar fi putut începe viața ca un kit de hacking construit pentru sau achiziționat de guvernul SUA. Google și iVerify notează ambele că Coruna conține multiple componente utilizate anterior într-o operațiune de hacking cunoscută sub numele de „Triangulation” care a fost descoperită vizând firma rusă de securitate cibernetică Kaspersky în 2023, pe care guvernul rus a afirmat că este opera NSA. (Guvernul SUA nu a răspuns la afirmația Rusiei.)
Codul Corunei pare, de asemenea, să fi fost scris inițial de programatori vorbitori de limba engleză, notează cofondatorul iVerify, Rocky Cole. „Este extrem de sofisticat, a costat milioane de dolari pentru a se dezvolta și poartă semnele distinctive ale altor module care au fost atribuite public guvernului SUA”, spune Cole pentru WIRED. „Acesta este primul exemplu pe care l-am văzut de instrumente foarte probabil ale guvernului SUA - bazate pe ceea ce ne spune codul - scăpând de sub control și fiind folosite atât de adversarii noștri, cât și de grupuri de criminalitate cibernetică.”
Un „Moment EternalBlue”
Indiferent de originea Corunei, Google avertizează că un toolkit de hacking extrem de valoros și rar pare să fi călătorit prin o serie de mâini improbabile și acum există în sălbăticie, unde ar putea fi încă adoptat - sau adaptat - de orice grup de hackeri care caută să vizeze utilizatorii de iPhone. „Modul în care a avut loc această proliferare este neclar, dar sugerează o piață activă pentru exploatările „second hand” de tip zero-day”, se arată în raportul Google, folosind termenul zero-day pentru a se referi la tehnicile secrete de hacking care exploatează vulnerabilitățile nepeticite. „Dincolo de aceste exploatări identificate, mai mulți actori amenințători au dobândit acum tehnici avansate de exploatare care pot fi reutilizate și modificate cu vulnerabilități nou identificate.”
Cole de la iVerify notează că, dacă Coruna a început de fapt viața ca un instrument destinat guvernului SUA, ridică, de asemenea, întrebări cu privire la securitatea dispozitivelor mobile într-o lume în care instrumente de hacking extrem de sofisticate create pentru sau vândute guvernului american pot ajunge la adversari. „Acesta este momentul EternalBlue pentru malware-ul mobil”, spune Cole. EternalBlue este instrumentul de hacking Windows furat de la Agenția Națională de Securitate și scurs în 2017, ceea ce a dus la utilizarea sa în atacuri cibernetice catastrofale, inclusiv viermele WannaCry al Coreei de Nord și atacul NotPetya al Rusiei.
Google notează că Apple a remediat vulnerabilitățile utilizate de Coruna în cele mai recente versiuni ale sistemului său de operare mobil, iOS 26, astfel încât tehnicile sale de exploatare sunt confirmate doar că funcționează împotriva iOS 13 până la 17.2.1. Vizează vulnerabilități în cadrul Webkit al Apple pentru browsere, astfel încât utilizatorii Safari de pe acele versiuni mai vechi de iOS ar fi vulnerabili, dar nu există tehnici confirmate în toolkit pentru vizarea utilizatorilor Chrome. Google notează, de asemenea, că Coruna verifică dacă un dispozitiv iOS are activată cea mai stringentă setare de securitate a Apple, cunoscută sub numele de Lockdown Mode, și nu încearcă să îl hackuiască dacă este așa.
În ciuda acestor limitări, iVerify spune că Coruna a infectat probabil zeci de mii de telefoane. Compania s-a consultat cu un partener care are acces la traficul de rețea și a numărat vizitele pe un server de comandă și control pentru versiunea de criminalitate cibernetică a Corunei care infectează site-uri web în limba chineză. Volumul acelor conexiuni sugerează, spune iVerify, că aproximativ 42.000 de dispozitive ar fi putut fi deja hackuite cu toolkitul numai în campania orientată spre profit. Câte alte victime ar fi putut lovi Coruna, inclusiv ucrainenii care au vizitat site-uri web infectate cu codul de către operațiunea suspectată de spionaj rusesc, rămâne neclar. Google a refuzat să comenteze dincolo de raportul său publicat. Apple nu a oferit imediat comentarii cu privire la constatările Google sau iVerify.
Un Singur Autor, Foarte Profesionist
În analiza iVerify a versiunii de criminalitate cibernetică a Corunei - nu a avut acces la nicio versiune anterioară - compania a constatat că codul părea să fi fost modificat pentru a planta malware pe dispozitivele țintă, conceput pentru a drena criptomonede din portofelele cripto, precum și pentru a fura fotografii și, în unele cazuri, e-mailuri. Aceste adăugiri, totuși, au fost „scrise prost” în comparație cu toolkit-ul Coruna subiacent, potrivit șefului de produs iVerify, Spencer Parker, care a constatat că este impresionant de lustruit și modular. „Doamne, aceste lucruri sunt scrise foarte profesional”, spune Parker despre exploatările incluse în Coruna, sugerând că malware-ul mai crud a fost adăugat de criminalii cibernetici care au obținut ulterior acel cod.
În ceea ce privește modulele de cod care sugerează originile Corunei ca toolkit al guvernului SUA, Cole de la iVerify notează o explicație alternativă: este posibil ca suprapunerile codului Corunei cu malware-ul Operation Triangulation pe care Rusia l-a atribuit hackerilor americani să se bazeze pe componentele Triangulation preluate și reutilizate după ce au fost descoperite. Dar Cole argumentează că este puțin probabil. Multe componente ale Corunei nu au mai fost văzute până acum, subliniază el, iar întregul toolkit pare să fi fost creat de un „singur autor”, după cum spune el. „Cadrul se menține foarte bine”, spune Cole, care a lucrat anterior la NSA, dar notează că a părăsit guvernul de mai bine de un deceniu și nu își bazează nicio constatare pe propria sa cunoaștere învechită a instrumentelor de hacking din SUA. „Se pare că a fost scris ca un întreg. Nu pare să fi fost asamblat.”
Dacă Coruna este, de fapt, un toolkit de hacking american scăpat de sub control, modul în care a ajuns în mâini străine și criminale rămâne un mister. Dar Cole indică industria brokerilor care pot plăti zeci de milioane de dolari pentru tehnici de hacking zero-day pe care le pot revinde pentru spionaj, criminalitate cibernetică sau război cibernetic. În special, Peter Williams, un director al contractorului guvernamental american Trenchant, a fost condamnat în această lună la șapte ani de închisoare pentru vânzarea de instrumente de hacking către brokerul rus zero-day Operation Zero din 2022 până în 2025. Nota de condamnare a lui Williams notează că Trenchant a vândut instrumente de hacking comunității de informații din SUA, precum și altora din grupul „Five Eyes” al guvernelor vorbitoare de limbă engleză - SUA, Regatul Unit, Australia, Canada și Noua Zeelandă - deși nu este clar ce instrumente specifice a vândut sau ce dispozitive au vizat.
„Acești brokeri de exploatări și zero-day tind să fie lipsiți de scrupule”, spune Cole. „Vând celui mai mare ofertant și scot dublu. Mulți nu au aranjamente de exclusivitate. Asta s-a întâmplat foarte probabil aici.”
„Unul dintre aceste instrumente a ajuns în mâinile unui broker de exploatări non-vestic și l-au vândut oricui era dispus să plătească”, conchide Cole. „Duhul a ieșit din sticlă.”