Інструментарій для злому iPhone, який, за даними дослідників, міг бути розроблений на замовлення уряду США, опинився в руках іноземних спецслужб і кіберзлочинців. Про це повідомляє видання WIRED з посиланням на результати незалежних розслідувань компаній Google та iVerify.
Набір інструментів, відомий під назвою Coruna, вже міг бути використаний для зламу щонайменше 42 000 пристроїв у рамках однієї лише комерційної злочинної кампанії, а також, можливо, проти українських користувачів у межах операції, повʼязаної з російським шпигунством.
Обмежений, але масштабний
Згідно зі звітом Google, Apple усунула вразливості, якими користується інструментарій Coruna, у найновіших версіях мобільної операційної системи — iOS 26. Підтверджено, що методи злому працюють лише проти iOS версій від 13 до 17.2.1. Coruna атакує вразливості у фреймворку Apple WebKit, який використовується в браузерах, тому користувачі Safari на застарілих версіях iOS залишаються вразливими. Підтверджених технік для атаки на користувачів Chrome у наборі немає. Крім того, Coruna перевіряє, чи увімкнено на пристрої найсуворіший режим безпеки Apple — Режим карантину, — і не намагається зламати пристрій, якщо він активований.
Попри ці обмеження, компанія iVerify стверджує, що Coruna, ймовірно, вже заразив десятки тисяч смартфонів. За даними партнера iVerify, який має доступ до мережевого трафіку, аналіз звернень до командно-контрольного сервера кіберзлочинної версії Coruna — тієї, що поширювалася через китайськомовні вебсайти, — дав змогу підрахувати, що лише в межах комерційної кампанії вже могло бути зламано близько 42 000 пристроїв.
Скільки ще жертв могло постраждати від Coruna — зокрема українці, які відвідували сайти, заражені в рамках можливої російської шпигунської операції, — наразі невідомо. Google відмовилася коментувати ситуацію понад те, що вже викладено у її звіті. Apple також не надала коментаря щодо висновків Google та iVerify.
Єдиний і дуже професійний автор
Аналізуючи кіберзлочинну версію Coruna (доступу до більш ранніх версій в iVerify не було), дослідники компанії встановили, що код було модифіковано з метою встановлення на цільових пристроях шкідливого ПЗ — для виведення криптовалюти з криптогаманців, а також викрадення фотографій і, в окремих випадках, електронної пошти. Однак ці доповнення були «погано написані» порівняно з основним інструментарієм Coruna, зазначив головний директор з продуктів iVerify Спенсер Паркер, назвавши сам інструментарій вражаючим за своєю відшліфованістю та модульністю.
«Боже мій, ці речі написані дуже професійно», — сказав Паркер про експлойти, що входять до Coruna, припустивши, що грубіший шкідливий код додали кіберзлочинці, які пізніше отримали доступ до цього інструментарію.
Щодо фрагментів коду, які вказують на походження Coruna як урядового інструменту США, аналітик iVerify Коул навів одне з можливих альтернативних пояснень: збіги між кодом Coruna та шкідливим ПЗ операції Triangulation — яку росія приписала американським хакерам — могли виникнути через те, що компоненти Triangulation були підхоплені та перероблені після їх виявлення. Проте сам Коул вважає таку версію малоймовірною: чимало компонентів Coruna раніше ніде не зустрічалися, а весь інструментарій, схоже, створив «один автор».
«Фреймворк дуже добре скомпонований», — каже Коул, який у минулому працював в АНБ, але наголошує, що залишив відомство більш як десять років тому і не спирається у своїх висновках на застарілі знання про американські хакерські засоби. — «Схоже, що це написано як єдине ціле, а не зібрано з фрагментів».
Як інструмент міг потрапити до чужих рук
Якщо Coruna справді є американським хакерським інструментарієм, що вийшов з-під контролю, то питання про те, як він опинився в руках іноземних держав і злочинців, досі залишається без відповіді. Коул вказує на ринок брокерів уразливостей, які можуть платити десятки мільйонів доларів за техніки злому нульового дня, щоб потім перепродавати їх для шпигунства, кіберзлочинів або кібервійни.
Показовим у цьому контексті є нещодавній вирок Пітеру Вільямсу — топменеджеру американського підрядника Trenchant, — засудженому цього місяця до семи років увʼязнення за продаж хакерських інструментів російському брокеру вразливостей нульового дня Operation Zero з 2022 по 2025 рік. Зі змісту обвинувального вироку випливає, що Trenchant продавала хакерські засоби американській розвідувальній спільноті, а також іншим представникам альянсу «Пʼять очей» — США, Великій Британії, Австралії, Канаді та Новій Зеландії. Яке саме ПЗ продавалося і проти яких пристроїв воно було спрямовано — не уточнюється.
«Брокери вразливостей і експлойтів, як правило, безпринципні, — зазначає Коул. — Вони продають тому, хто більше платить, і не гребують подвійними продажами. Більшість із них не мають угод про ексклюзивність. Саме це, швидше за все, тут і сталося».
«Один із цих інструментів опинився в руках незахідного брокера, який продав його тому, хто був готовий платити, — підсумовує дослідник. — Джин вийшов із пляшки».
