MWC 2018
2018
Computex
IFA 2018
Разработанный американским подрядчиком и переданный властям США механизм атаки Coruna на Apple iPhone оказался в руках хакеров, которые используют его, чтобы поражать устройства жертв по политическим и финансовым мотивам, установили исследователи в области кибербезопасности из Google.
Источник изображения: Kevin Ku / unsplash.com
Атака Coruna на Apple iPhone начинается с посещения жертвой вредоносного сайта. Целиком схема представляет собой высокотехнологичный набор инструментов для взлома iPhone, в том числе пять методов взлома, позволяющих обойти все средства защиты на устройстве и незаметно установить на него вредоносное ПО — достаточно лишь посетить сайт, на котором размещён код эксплойта. В общей сложности схема Coruna эксплуатирует 23 уязвимости iOS. Это редкий набор составляющих, который даёт основания предположить, что схему разработала обеспеченная ресурсами группировка хакеров, которую могли поддерживать власти одной из стран.
Некоторые компоненты схемы Coruna, по сведениям экспертов компаний iVerify и Google, восходят к хакерской кампании Operation Triangulation, обнаруженной в 2023 году «Лабораторией Касперского». По одной из версий, схема была разработана американскими властями или приобретена ими. Код Coruna «очень сложный, на его разработку ушли миллионы долларов, и он носит характерные черты других модулей, которые публично приписывались правительству США», отметили в iVerify. Инцидент примечателен тем, что работа этой схемы вышла из-под контроля, и ей завладели другие стороны — киберпреступники, действующие при поддержке властей других стран, а также хакеры, движимые жаждой наживы. Нечто подобное произошло в 2017 году, когда у Агентства национальной безопасности США украли EternalBlue — средство для взлома компьютеров под управлением Windows, и на его основе были созданы опасные вирусы WannaCry и NotPetya.
Источник изображения: Desola Lanre-Ologun / unsplash.com
В последних версиях iOS 26 компания Apple исправила эксплуатируемые схемой Coruna уязвимости — методы атаки подтверждены для устройств под управлением iOS версий от 13 до 17.2.1. Эксплойты запускаются на фреймворке Apple Webkit, то есть уязвимы устройства под управлением устаревших версий браузера Safari — успешные атаки на браузер Chrome и его производные подтвердить не удалось. В ходе выполнения кода Coruna, в частности, осуществляется проверка, включена ли на iPhone настройка безопасности Lockdown Mode — если она активна, атака прекращается.
Несмотря на эти ограничения, заражёнными оказались десятки тысяч смартфонов. При поддержке партнёра эксперты iVerify подсчитали число посещений одного из серверов, управляющих коммерческой версией Coruna, которая атакует устройства китаеязычных пользователей — по этим данным, были взломаны около 42 000 устройств. Количество жертв прочих кампаний Coruna подсчитать не удалось. Эксперты проанализировали исходный вариант кода атаки и его модифицированную версию, направленную на кражу средств из криптовалютных кошельков, кражу фотографий с устройств и электронных писем. Собственный код эксплойта написан на очень высоком уровне, отметили в iVerify, а выполняющие кражу данных модули «написаны плохо».
Есть версия, что источником утечки стали представители отрасли брокеров, которые могут платить десятки миллионов долларов за рабочие схемы взлома систем с эксплуатацией уязвимостей нулевого дня. Далее эти схемы продаются для шпионажа, киберпреступной деятельности или кибервойн. Ведущие такой бизнес лица, как правило, недобросовестны, указывают эксперты, — они готовы продавать сведения тем, кто заплатит больше, и эксклюзивных соглашений они не заключают, привлекая к сделкам по нескольку покупателей.
Источник:
