Механизмът за атака Coruna, разработен от американски изпълнител и предаден на американските власти срещу смартфоните iPhone е попаднал в ръцете на хакери, които го използват, за да атакуват устройства на жертви по политически и финансови мотиви, установиха изследователи по киберсигурност от Google.

Атаката на Coruna срещу iPhone започва с посещение на злонамерен уебсайт от страна на жертвата. Цялата схема представлява високотехнологичен инструментариум за хакване на iPhone, включващ пет хакерски метода за заобикаляне на всички защити на устройството и незабелязано инсталиране на зловреден софтуер – достатъчно е да посетите уебсайт, на който е разположен кодът за експлойт.

Общо схемата на Coruna използва 23 уязвимости на iOS. Това е рядък набор от компоненти, който предполага, че схемата е разработена от добре обезпечена хакерска група, която може да е била подкрепена от властите.

Сспоред експертите на iVerify и Google, някои компоненти на Coruna датират от хакерската кампания Operation Triangulation, открита през 2023 година от Kaspersky Lab. Според една от версиите схемата е разработена или придобита от американските власти. Кодът на Coruna е „изключително сложен, разработката му струва милиони долари и носи характеристиките на други модули, които публично се приписват на американското правителство“, казват от iVerify. Инцидентът е забележителен, защото функционирането на схемата е излязло извън контрол и е било поето от други страни – киберпрестъпници, действащи с подкрепата на властите в други държави, както и хакери, водени от жажда за печалба. Нещо подобно се случи през 2017 година, когато EternalBlue, инструмент за хакване на компютри с Windows беше откраднат от Агенцията за национална сигурност на САЩ и използван за създаването на опасните вируси WannaCry и NotPetya.

В най-новите версии на iOS 26 Apple е закърпила уязвимостите, използвани от схемата Coruna – методите за атака са потвърдени за устройства, работещи с версии на iOS от 13 до 17.2.1. Експлойтите работят с рамката WeBkit на Apple, което означава, че устройствата, работещи с по-стари версии на браузъра Safari са уязвими – успешни атаки срещу Chrome и неговите производни не са потвърдени. Изпълнението на кода на Coruna проверява дали настройката за сигурност Lockdown Mode е активирана в iPhone – ако тя е активна, атаката спира.

Въпреки тези ограничения десетки хиляди смартфони са били заразени. С подкрепата на партньор експертите на iVerify преброиха броя на посещенията на един от сървърите, на които работи комерсиалната версия на Coruna, която атакува устройствата на китайскоговорящи потребители – според тези данни са били компрометирани около 42 000 устройства. Броят на жертвите на други кампании на Coruna не може да бъде изчислен. Експертите анализираха оригиналната версия на кода на атаката и нейната модифицирана версия, насочена към кражба на средства от портфейли за криптовалути, кражба на снимки от устройства и имейли. Собственият код на експлойта е написан на много високо ниво, твърдят от iVerify, докато модулите, които извършват кражбата на данни, са „лошо написани“.

Съществува теория, че източникът на изтичането е от брокерската индустрия, която може да плати десетки милиони долари за работещи схеми за проникване в системите, използващи уязвимости от типа нулев ден. След това тези схеми се продават за целите на шпионажа, киберпрестъпленията или кибервойната. Лицата, които управляват такива бизнеси обикновено са безскрупулни, посочват експертите – те са готови да продадат информация на този, който предложи най-висока цена и не сключват ексклузивни споразумения, включвайки в сделките множество купувачи.