CyberbezpieczeństwoRynek
iPhone w pułapce: amerykańskie rządowe narzędzia hakerskie trafiły do cyberprzestępców
Masowa kampania hakerska wymierzona w użytkowników iPhone’ów na Ukrainie i w Chinach wykorzystywała narzędzia stworzone pierwotnie dla amerykańskich agencji wywiadowczych, poinformował TechCrunch. Zestaw „Coruna” – opracowany przez kontrahenta wojskowego, firmę L3Harris – wpadł w ręce rosyjskich szpiegów i chińskich cyberprzestępców, prowadząc do szeroko zakrojonych ataków typu zero-day.
Według ustaleń portalu TechCrunch oraz Google, zestaw narzędzi do hakowania iPhone’ów – nazwany przez twórcę „Coruna” – składał się z 23 komponentów. Pierwotnie wykorzystywany był w ukierunkowanych operacjach przez rządowego klienta USA. Niestety, później trafił do rosyjskich szpiegów rządowych, którzy atakowali wybrane cele na Ukrainie oraz chińskich cyberprzestępców, wykorzystujących go do kradzieży pieniędzy i kryptowalut.
Firma iVerify potwierdziła, że narzędzia te mogły być opracowane przez firmę Trenchant, część L3Harris, która sprzedaje swoje technologie wyłącznie rządom USA i sojusznikom Five Eyes, czyli tzw. sojuszu wywiadowczego, do którego należą Australia, Kanada, Nowa Zelandia i Wielka Brytania.
Historia wycieku
Nie jest do końca jasne, jak Coruna przeszła w ręce nieautoryzowanych użytkowników. Możliwe ścieżki obejmują sprzedaż narzędzi przez byłego dyrektora Trenchant, Petera Williamsa, rosyjskiej organizacji Operation Zero, która następnie mogła je odsprzedać m.in. chińskim hakerom i gangom ransomware. Wspomniany Peter Williams został już skazany na siedem lat więzienia za sprzedaż exploitów zero-day o wartości 1,3 mln USD.
Niektóre komponenty Coruny, m.in. exploity Photon i Gallium, były używane w kampanii o nazwie Triangulacja, przeciwko użytkownikom iPhone’ów w Rosji. Google i iVerify wskazują na silne powiązania z wcześniejszymi projektami Trenchant, choć brak jest jednoznacznych dowodów publicznych.
Coruna obejmowała luki w systemach iOS od wersji 13 do 17.2.1, wydanych między 2019 a 2023 rokiem, co pokrywa się z czasem odkrycia operacji Triangulacja przez firmę Kaspersky. Jak wskazują eksperci, nazwy modułów narzędzi, takie jak Plasma, Photon czy Gal, wskazują na charakterystyczny styl firmy Trenchant.
Przypadek Coruny pokazuje ryzyko jakie niesie za sobą transfer rządowych narzędzi cybernetycznych na wolny rynek. Nawet rozwiązania zaprojektowane dla zachodnich agencji wywiadowczych mogą być wykorzystane przez cyberprzestępców do globalnych ataków – od destabilizacji po kradzieże finansowe.
