Зброя для зламу iPhone, створена для влади США, потрапила до рук хакерів

Розроблений американським підрядником і переданий владі США механізм атаки Coruna на Apple iPhone опинився в руках хакерів, які використовують його для ураження пристроїв жертв з політичних і фінансових мотивів, встановили дослідники в галузі кібербезпеки з Google.

Джерело зображення: Kevin Ku / unsplash.com

Атака Coruna на Apple iPhone починається з відвідування жертвою шкідливого сайту. В цілому схема являє собою високотехнологічний набір інструментів для зламу iPhone, включаючи п’ять методів зламу, які дозволяють обійти всі засоби захисту на пристрої і непомітно встановити на нього шкідливе ПЗ — достатньо лише відвідати сайт, на якому розміщено код експлойта. В загальному, схема Coruna експлуатує 23 вразливості iOS. Це рідкісний набір складових, який дає підстави припускати, що схему розробила забезпечена ресурсами група хакерів, яку могли підтримувати влади однієї з країн.

Деякі компоненти схеми Coruna, за даними експертів компаній iVerify і Google, походять з хакерської кампанії Operation Triangulation, виявленої в 2023 році «Лабораторією Касперського». За однією з версій, схема була розроблена американськими властями або придбана ними. Код Coruna «дуже складний, на його розробку пішли мільйони доларів, і він має характерні риси інших модулів, які публічно приписувалися уряду США», зазначили в iVerify. Інцидент примітний тим, що робота цієї схеми вийшла з-під контролю, і нею заволоділи інші сторони — кіберзлочинці, які діють за підтримки влади інших країн, а також хакери, що керуються жадобою наживи. Нечо подібне сталося в 2017 році, коли у Агентства національної безпеки США вкрали EternalBlue — засіб для зламу комп’ютерів під управлінням Windows, і на його основі були створені небезпечні віруси WannaCry і NotPetya.

Джерело зображення: Desola Lanre-Ologun / unsplash.com

У останніх версіях iOS 26 компанія Apple виправила вразливості, які експлуатуються схемою Coruna — методи атаки підтверджені для пристроїв під управлінням iOS версій від 13 до 17.2.1. Експлойти запускаються на фреймворку Apple Webkit, тобто вразливі пристрої під управлінням застарілих версій браузера Safari — успішні атаки на браузер Chrome і його похідні підтвердити не вдалося. У процесі виконання коду Coruna, зокрема, здійснюється перевірка, чи включена на iPhone настройка безпеки Lockdown Mode — якщо вона активна, атака припиняється.

Незважаючи на ці обмеження, зараженими виявилися десятки тисяч смартфонів. За підтримки партнера експерти iVerify підрахували кількість відвідувань одного з серверів, що керують комерційною версією Coruna, яка атакує пристрої китайськомовних користувачів — за цими даними, були зламані близько 42 000 пристроїв. Кількість жертв інших кампаній Coruna підрахувати не вдалося. Експерти проаналізували вихідний варіант коду атаки і його модифіковану версію, спрямовану на крадіжку коштів з криптовалютних гаманців, крадіжку фотографій з пристроїв і електронних листів. Власний код експлойта написаний на дуже високому рівні, зазначили в iVerify, а модулі, що виконують крадіжку даних, «написані погано».

Є версія, що джерелом витоку стали представники галузі брокерів, які можуть платити десятки мільйонів доларів за робочі схеми зламу систем з експлуатацією вразливостей нульового дня. Далі ці схеми продаються для шпигунства, кіберзлочинної діяльності або кібервоєн. Ведучі таку справу особи, як правило, недобросовісні, вказують експерти, — вони готові продавати відомості тим, хто заплатить більше, і ексклюзивних угод вони не укладають, залучаючи до угод кілька покупців.

Хочеш дізнатися більше — читай відгуки