Исследователи безопасности Google раскрыли существование Coruna — сложного набора эксплойтов, разработанного для массового и скрытного взлома iPhone. Этот инструмент способен заразить ваше устройство при простом посещении скомпрометированного веб-сайта, не требуя дополнительного взаимодействия. Согласно первоначальным отчетам, эксплойт был создан для использования спецслужбами, но в итоге оказался в руках хакеров.
Согласно публикации в блоге технологической компании, Coruna затрагивает модели iPhone под управлением iOS версий от 13.0 до 17.2.1. Группа анализа угроз Google (Threat Intelligence Group) отмечает, что этот набор инструментов использует цепочку из 23 различных уязвимостей в iOS, чтобы обойти защитные механизмы операционной системы Apple. Это позволяет устанавливать вредоносное ПО для шпионажа за пользователем и кражи его данных незаметно.
Распространение Coruna вызвало тревогу в сообществе кибербезопасности из-за его необычной траектории. Google изначально обнаружила компоненты этого набора у клиентов коммерческих компаний, занимающихся слежкой. Через несколько месяцев более полная версия была использована группами, связанными с российской разведкой, для атак на граждан Украины через местные веб-сайты.
По данным iVerify, происхождение этого инструмента может быть связано с англоязычным оборонным подрядчиком. Фирма по безопасности проанализировала версию Coruna, которая использовалась для взлома китайских пользователей криптовалют, и обнаружила доказательства, указывающие на Агентство национальной безопасности США (АНБ).
«Он чрезвычайно сложен, на его разработку ушли миллионы долларов, и он имеет черты других модулей, которые публично приписывались правительству США», — заявил Рокки Коул, соучредитель iVerify, в интервью WIRED. Эксперт добавил, что Coruna содержит компоненты, которые использовались при взломе Kaspersky в 2023 году.
От АНБ до российских хакеров: как работает Coruna
Технический анализ Google Cloud показал, что Coruna представляет собой модульную систему, разработанную для высокой адаптивности. Российские злоумышленники интегрировали ее в простые скрипты подсчета посещений на украинских сайтах для выявления целей, представляющих геополитический интерес. Тем временем другие группы хакеров добавляли менее технически качественные модули вредоносного ПО для извлечения сид-фраз из криптовалютных кошельков.
Определяющим фактором в безопасности пользователей от подобных угроз является использование Режима изоляции (или Режима блокировки) от Apple. Исследователи Google подтвердили, что Coruna запрограммирован проверять, активна ли эта функция на iPhone жертвы; если да, набор останавливает процесс заражения, чтобы избежать обнаружения.
Apple уже приняла меры для смягчения воздействия Coruna, исправив уязвимости, используемые в последних версиях своих операционных систем. Набор эксплойтов эффективен в версиях, начиная с iOS 13 до iOS 17.2.1, фокусируясь на ошибках в WebKit, движке Safari. Хотя официальных данных о количестве пострадавших нет, исследователи оценивают, что более 42 000 устройств были взломаны во время кампании, направленной на китайских пользователей.
Распространение Coruna выдвигает на первый план неудобную реальность для спецслужб: потерю эксклюзивности на их цифровое оружие. Google предполагает, что существует вторичный рынок, где эксплойты перепродаются или утекают после их обнаружения в активных операциях. «Помимо этих выявленных эксплойтов, множество участников угроз приобрели передовые методы эксплуатации, которые могут быть повторно использованы и модифицированы с вновь обнаруженными уязвимостями», — заявила компания.