Оружие для взлома iPhone, созданное для властей США, оказалось в руках хакеров

Механизм атаки Coruna, разработанный американским подрядчиком и переданный властям США против смартфонов iPhone, попал в руки хакеров, которые используют его для атак на устройства жертв по политическим и финансовым причинам, обнаружили исследователи кибербезопасности Google.

Атака Coruna на iPhone начинается с посещения жертвой вредоносного веб-сайта. Вся схема представляет собой высокотехнологичный набор инструментов для взлома iPhone, включающий пять методов взлома, позволяющих обойти все средства защиты устройства и незаметно установить вредоносное ПО — просто посетив веб-сайт, на котором размещен код эксплойта.

Всего схема Coruna эксплуатирует 23 уязвимости iOS. Это редкий набор компонентов, который позволяет предположить, что схема была разработана хорошо обеспеченной хакерской группой, которую, возможно, поддерживали власти.

По мнению экспертов iVerify и Google, некоторые компоненты Coruna относятся к хакерской кампании Operation Triangulation, обнаруженной в 2023 году «Лабораторией Касперского». По одной из версий, схему разработали или приобрели американские власти. Код Coruna «чрезвычайно сложен, его разработка стоила миллионы долларов, и он имеет признаки других модулей, публично приписываемых правительству США», — заявили в iVerify. Инцидент примечателен тем, что работа схемы вышла из-под контроля и перешла в руки других сторон – киберпреступников, действующих при поддержке властей других стран, а также хакеров, движимых жаждой наживы. Нечто подобное произошло в 2017 году, когда EternalBlue, инструмент для взлома ПК с ОС Windows, был украден у Агентства национальной безопасности США и использован для создания опасных вирусов WannaCry и NotPetya.

В последних версиях iOS 26 Apple исправила уязвимости, используемые схемой Coruna — методы атаки подтверждены для устройств под управлением iOS версий с 13 по 17.2.1. Эксплойты работают с инфраструктурой Apple WeBkit, а это означает, что устройства, работающие под управлением старых версий браузера Safari, уязвимы — успешные атаки на Chrome и его производные не подтверждены. Выполнение кода Coruna проверяет, включен ли на iPhone параметр безопасности режима блокировки — если да, атака прекращается.

Несмотря на эти ограничения, десятки тысяч смартфонов были заражены. При поддержке партнера специалисты iVerify подсчитали количество посещений одного из серверов, на которых установлена ​​коммерческая версия Coruna, которая атакует устройства китайскоязычных пользователей — по этим данным, было скомпрометировано около 42 000 устройств. Число жертв других кампаний Коруньи невозможно подсчитать. Эксперты проанализировали исходную версию кода атаки и ее модифицированную версию, направленную на кражу средств с криптовалютных кошельков, кражу фотографий с устройств и электронных писем. Собственный код эксплойта написан на очень высоком уровне, утверждает iVerify, а модули, осуществляющие кражу данных, «плохо написаны».

Существует теория, что источником утечки является брокерская индустрия, которая может платить десятки миллионов долларов за схемы проникновения в работающие системы, эксплуатирующие уязвимости нулевого дня. Эти схемы затем продаются в целях шпионажа, киберпреступности или кибервойны. Люди, управляющие таким бизнесом, обычно недобросовестны, говорят эксперты: они готовы продать информацию тому, кто предложит самую высокую цену, и не заключают эксклюзивных соглашений с участием нескольких покупателей в сделках.