Probijanje Novi alat za hakovanje iPhonea pod nazivom Coruna Ovo je izazvalo uzbunu u sektoru kibernetičke sigurnosti. Ono što se u početku činilo kao arsenal rezerviran za visokoselektivne operacije, na kraju se pokazalo korištenim u mnogo šire kampanje s isključivo ekonomskim motivimautičući na korisnike u različitim regijama, uključujući evropsko okruženje, kao što je Masovni hak Spotifyja.
Prema analizama koje je objavio Google Threat Intelligence Group (GTIG) i specijalizirana firma iVerifyCoruna nije jednostavan izolirani iskorištavajući program, već kompletan i modularni skup iskorištavajućih programa sposoban povezati nekoliko iOS ranjivosti kako bi preuzeo kontrolu nad uređajem jednostavnim učitavanjem zlonamjerne web stranice. Ova evolucija, od državne špijunaže do organiziranog kriminala, ponovo otvara debatu o... Šta se dešava kada takozvano "sajber oružje" pobjegne iz kontrolisanih kola?.
Šta je Coruna i na koje iPhonee utiče?
Prema dokumentaciji koju je objavio GTIG, Coruna je komplet za iskorištavanje zlonamjernih programa posebno dizajniran za napad na iPhone uređaje s verzijama iOS-a između 13.0 i 17.2.1.Ovo nije izolovani kvar, već skup komponenti sposobnih da se kombinuju kako bi savladale različite odbrane operativnog sistema.
Istraživači opisuju pet kompletnih lanaca napada i ukupno 23 različita iskorištavanja integrirano u alat. Veliki dio ovih napada usmjeren je protiv WebKit, mehanizam koji koriste Safari i drugi preglednici na iPhoneu, a koji omogućava kompromitovanje telefona jednostavnim posjetom manipulisanoj web stranici bez potrebe za preuzimanjem ili dodatnom interakcijom.
Jedna od karakteristika koja najviše zabrinjava stručnjake je sposobnost Coruñe da izvrši tihe infekcije korištenjem tehnika "bunara"Ovaj pristup uključuje umetanje zlonamjernog koda u stranice koje žrtve redovno posjećuju, tako da se upad događa diskretno i prosječnom korisniku ga je teško otkriti.
Kada se lanac ranjivosti uspješno izvrši, komplet je u stanju da instalirati špijunski softver, implementirati različite vrste zlonamjernog softvera i špijunirati ili krasti osjetljive podatke pohranjene na iPhoneu.Potencijalne mete uključuju poruke, lokaciju, pristup vjerodajnicamalične datoteke, pa čak i informacije koje se koriste za upravljanje finansijskim uslugama ili kriptovalutama.
Iako njegov historijski opseg se proteže od iOS-a 13.0 do iOS-a 17.2.1, Najnovije verzije Appleovog operativnog sistema više ne bi bile ranjive na ovaj specifični skup propusta.Prema nalazima koje su objavili Google i iVerify, broj zastarjelih uređaja i dalje predstavlja rizik, posebno u regijama s visokom koncentracijom iPhonea u svakodnevnoj upotrebi.
Od selektivne špijunaže do masovnih kampanja sajber kriminala
Ruta kroz Coruñu jasno pokazuje kako Alat dizajniran za operacije vrlo visokog nivoa može na kraju izgubiti kontroluPrvi tragovi aktivnosti koje je dokumentovala Googleova Grupa za obavještajne podatke o prijetnjama datiraju iz 2025. godine, kada je otkrivena upotreba fragmenata kompleta u onome što su opisali kao vrlo ograničena operacija povezana s pružateljem usluga digitalnog nadzora da će raditi za nekog vladinog klijenta.
Vremenom su se iste tehnike pojavile u napadi usmjereni na ukrajinske korisnikeU kampanji koja se pripisuje ruskoj grupi UNC6353, napadači su ugradili exploit kod u ukrajinske web stranice, iskorištavajući kontekst sukoba i nastojeći kompromitovati uređaje od strateškog interesa.
Ubrzo nakon toga, istražitelji su pronašli razvijenija verzija alata u rukama ekonomski motivisanog aktera koji djeluje iz Kine, identifikovan kao UNC6691. U toj fazi, glavna svrha prestala je biti politički nadzor i počela se fokusirati na krađa digitalne imovine, posebno kriptovaluta, iskorištavajući popularnost ovih usluga među određenim korisničkim profilima.
U kampanjama povezanim s ovom kineskom grupom, operateri iz Coruñe oslanjali su se na kriptovalute i platforme za kockanje na kineskom kako bi namamili žrtve. Nakon što su uređaji bili zaraženi, zlonamjerni softver je dodavao module specijalizirane za praćenje i izdvajanje podataka. početne fraze, pristupne podatke i druge podatke povezane s kripto novčanicima i finansijske usluge.
iVerifyjeva analiza procjenjuje da Najmanje 42.000 iPhonea je možda kompromitirano u ovom posljednjem valuOvo daje ideju o prelasku sa diskretnih operacija na kampanje mnogo većih razmjera. Slučaj A Coruñe ilustruje kako Eksploati na najvišem nivou prestaju biti ekskluzivni za obavještajne agencije kada počnu da se dijele, preprodaju ili cure.multiplicirajući svoj utjecaj na obične korisnike.
Kako Coruna tehnički funkcioniše na iPhoneima
Na tehničkom nivou, Coruña se predstavlja kao modularni sistem, dizajniran da se prilagodi različitim ciljevima i okruženjimaOperateri mogu kombinovati različite komponente u zavisnosti od vrste napada koji žele da izvrše: produženi nadzor, krađa finansijskih informacija, dobijanje početnog pristupa za naknadne operacije, između ostalih scenarija.
Proces obično počinje kada korisnik pristupa stranici koja je kompromitovana eksploitnim skriptamaOdatle, komplet iskorištava ranjivosti u WebKitu i drugim iOS komponentama kako bi izvršio prvu kariku u lancu. Ovaj početni korak otvara vrata drugim ranjivostima koje postepeno povećavaju privilegije unutar sistema.
Nakon što dobiju dovoljno dozvola, napadači imaju mogućnost da instalirati špijunski softver, evidentirati pritiske tipki, krasti dokumente ili presresti komunikacijuU varijantama koje grupe koriste u ekonomske svrhe, poseban interes je uočen za praćenje finansijskih aplikacija, menadžera portfelja kriptovaluta i usluga mobilnog bankarstva.
Analize također pokazuju da Coruna uključuje provjere za otkrivanje da li iPhone ima aktiviran Appleov način zaključavanja ili način izolacijeAko utvrdi da se koristi ova napredna funkcija zaštite – uobičajena među novinarima, aktivistima, vladinim službenicima ili rukovodiocima – komplet može odlučiti da ne pokreće infekciju kako bi smanjio rizik od otkrivanja i analize od strane stručnjaka.
Uprkos nivou sofisticiranosti, istraživači naglašavaju da Stvarna efikasnost kompleta je ograničena ažuriranjima koja je Apple objavio.Kompanija je ispravila svaku od ranjivosti koje je iskoristio Coruna, tako da Najnovije verzije iOS-a više ne bi bile podložne ovim specifičnim lancima napada.Problem, kao što je često slučaj, leži u onim uređajima koji još uvijek nisu ažurirani.
Moguće veze do okvira za eksploataciju koje koristi NSA
Jedno od najdelikatnijih pitanja u ovom slučaju tiče se moguće porijeklo Corune i njene sličnosti s alatima državne obavještajne službeGoogle je bio oprezan u svojim javnim izvještajima i izbjegava direktno upućivanje na bilo koju zemlju, ali kompanija iVerify je otišla korak dalje u svojim tehničkim procjenama.
Nakon reverznog inženjeringa varijante Corune koja se koristi u kampanjama usmjerenim na kriptovalute, poznatoj kao CryptoWaters, Analitičari iVerifyja otkrili su paralele s okvirima koji su prethodno bili povezani s Nacionalnom sigurnosnom agencijom Sjedinjenih Američkih Država (NSA).Ove sličnosti bi se kretale od obrazaca kodiranja do načina na koji su različite ranjivosti povezane zajedno.
Suosnivač iVerifyja, Rocky Cole, naznačio je da nivo tehničke složenosti i procijenjeni troškovi razvoja Oni ukazuju na entitet sa resursima koji daleko premašuju resurse tipične kriminalne grupe. Nadalje, analizirani kodeks pokazuje karakteristike koje ukazuju na to da Napisali bi ga programeri koji govore engleski jezikOvo se poklapa s drugim okvirima koji su se u prošlosti pripisivali zapadnim obavještajnim operacijama.
Tokom analize, identifikovano je i sljedeće: sličnosti između dijelova Coruñe i komponenti korištenih u takozvanoj Operaciji TriangulacijaKampanja otkrivena 2023. godine ciljala je iOS uređaje u vlasništvu zaposlenika firme za sajber sigurnost Kaspersky. U to vrijeme, ruska vlada je javno optužila NSA da stoji iza napada, iako Washington nije ni potvrdio ni demantovao optužbe.
Uprkos tome, stručnjaci ističu da Atribucija u oblasti sajber sigurnosti je izuzetno složenaBez konačnih dokaza, veze treba tretirati s oprezom. Ono što se čini jasnim jeste da bi razvoj arsenala poput onog u Coruñi zahtijevao investicija od miliona dolara i specijalizovani timovi koji rade godinama, nešto što bolje odgovara profilu državnog aktera nego profilu improvizirane grupe.
Rizik od curenja sajber oružja na crno tržište
Bez obzira na to ko je prvobitno stajao iza ovog projekta, slučaj Coruña ponovo izaziva strah u sigurnosnoj zajednici: mogućnost da alati stvoreni za državnu špijunažu slobodno cirkulišuKada se to dogodi, oni prestaju biti problem ograničen na geopolitičke sukobe i počinju utjecati na kompanije, administracije i građane mnogih zemalja.
Jedan često spominjani presedan je EternalBlue, exploit koji je razvila NSA, a koji je ukraden i procurio 2017. godineTaj alat, teoretski namijenjen za visoko kontrolirane operacije, na kraju je korišten u masovnim napadima kao što su WannaCry i NotPetyauzrokujući poremećaje u bolnicama, preduzećima i javnim tijelima širom svijeta, uključujući Evropu, i naknadne epizode kao što su veliki Netflix hak.
Neki stručnjaci vjeruju da Koruna bi mogla označiti sličnu prekretnicu u mobilnom ekosistemuOvo pokazuje da izuzetno sofisticirani kompleti za iskorištavanje mogu biti integrirani u kampanje sajber kriminala usmjerene na obične korisnike. Razlika je u tome što su u ovom slučaju primarna meta telefoni, koji su postali središnji dio velikog dijela naših digitalnih života.
Izvještaji kompanija Google i iVerify ukazuju na moguće postojanje aktivno tržište za "polovne" eksploiteU ovom procesu, okviri za eksploataciju koje su prvobitno koristile agencije ili pružatelji nadzora prelaze u ruke drugih aktera putem posrednika. Stručnjaci naglašavaju da kada alat uđe u ovaj krug, Praktično je nemoguće ponovo preuzeti kontrolu nad tim ko ga koristi i u koje svrhe.
Ova dinamika nas prisiljava da preispitamo ravnotežu između akumulacija ranjivosti u ofanzivne svrhe i odgovornost da se oni prijave proizvođačima. Svaki put kada se donese odluka da se ne prijavi kritični kvar, pretpostavlja se da će te informacije ostati pod kontrolom, nešto što slučajevi poput onog u Coruñi ozbiljno dovode u pitanje.
Netransparentno tržište za zloupotrebe i njegov uticaj u Španiji i Evropi
Iza epizoda poput one u Coruñi, često se može pronaći slabo regulirano međunarodno tržište za brokere ranjivostiOvi posrednici kupuju exploite i alate za upad za vrlo visoke iznose, a zatim ih preprodaju vladama, kompanijama za nadzor ili čak kriminalnim akterima koji djeluju samostalno.
Nedavno je objavljena kazna Sedam godina zatvora za rukovodioca američke kompanije Trenchantnakon što je dokazano da je prodao alate za hakovanje ruskom posredniku specijaliziranom za zero-day exploite. Slučajevi poput ovog ilustruju koliko granica može biti nejasna između industrije sajber sigurnosti, obavještajnih operacija i crnog tržišta.
U evropskom kontekstu, a posebno u Španiji, ova realnost ima direktne implikacije. iPhone se masovno koristi za Digitalno bankarstvo, dvofaktorska autentifikacija, pristup javnim uslugama i upravljanje korporativnim informacijamaAko alat poput Corune padne u ruke profitno orijentiranih grupa, rizik više nije samo gubitak privatnosti, već i neovlašteni transferi novca, krađa identiteta ili curenje osjetljivih podataka.
Stručnjaci upozoravaju da čak i ako se specifične ranjivosti koje iskorištava Coruna isprave, Znanje i okviri razvijeni oko ovog kompleta mogu se ponovo koristiti prilagoditi se novim nedostacima u kasnijim verzijama iOS-a. Drugim riječima, opasnost ne nestaje, već se s vremenom razvija zajedno sa samim ažuriranjima sistema.
U okruženju gdje Mnoge male i srednje evropske kompanije i dalje se oslanjaju na mobilne uređaje za obavljanje kritičnih zadataka.Infekcija jednog zastarjelog iPhonea može poslužiti kao ulaz u interne mreže, sisteme upravljanja ili repozitorije dokumenata. Ova ranjivost čini mobilnu sigurnost ključnim elementom svake strategije kibernetičke sigurnosti.
Kako zaštititi svoj iPhone od Corone i sličnih prijetnji
Relativno pozitivan aspekt slučaja je to što Coruna više nije efikasna protiv najnovijih verzija iOS-aZahvaljujući ispravkama koje je Apple implementirao, ovo se poboljšalo. Međutim, sve dok značajan broj uređaja nastavi koristiti neažurirane verzije iOS-a 13, 14, 15, 16 ili rane verzije iOS-a 17, operateri ovih vrsta kompleta će održavati bazu potencijalnih žrtava.
Za korisnike u Španiji i ostatku Evrope, prva linija odbrane je jasna: Uvijek ažurirajte svoj iPhone na najnoviju verziju iOS-a dostupnu za vaš uređajMnogi napadi ovog tipa ostaju profitabilni jer značajan dio tržišta mobilnih telefona ostaje zaglavljen na starijim verzijama mjesecima ili čak godinama.
U slučajevima kada nije moguće instalirati najnoviju verziju - zbog kompatibilnosti s internim aplikacijama, korporativnih ograničenja ili starijih modela iPhonea -, Aktiviranje Appleovog načina zaključavanja može dodati dodatni sloj zaštiteOva funkcija smanjuje površinu napada onemogućavanjem određenih ponašanja koja se često iskorištavaju naprednim kompletima za iskorištavanje.
Također je preporučljivo poduzeti dodatne mjere opreza. oprez prilikom posjećivanja nepouzdanih web stranica ili klikanja na linkove iz sumnjivih izvoraOvo je posebno važno ako se uređaj koristi za osjetljive operacije kao što su upravljanje bankovnim računima, investicijama ili kriptovalutnim novčanicima. Iako Coruna ne zahtijeva više interakcije od učitavanja stranice, smanjenje izloženosti rizičnim stranicama smanjuje šanse da postanete žrtva prevare "waterhole".
U korporativnom sektoru i u javnoj upravi, Centralizirano upravljanje sigurnosnim politikama i ažuriranjima u iOS-u je ključnoOdržavanje ažurnih inventara uređaja, koordinirana primjena zakrpa i ograničavanje upotrebe starijih verzija ključni su koraci za smanjenje površine za napad koju ove vrste alata mogu iskoristiti.
Slučaj Alat za hakovanje iPhonea pod nazivom Coruna Ovo odražava kako izuzetno napredni komplet za iskorištavanje može preći put od diskretnih operacija nadzora do toga da postane dio arsenala raznih grupa - od dobavljača povezanih s vladom do ruskih i kineskih cyber kriminalaca - za samo nekoliko godina. Iako je Apple zatvorio većinu iskorištenih ranjivosti u najnovijim verzijama iOS-a, Postojanje hiljada zastarjelih uređaja u Evropi održava rizik živim i naglašava potrebu kombinovanja ažuriranja, naprednih zaštitnih funkcija i razboritih navika pregledavanja kako bi se izbjeglo uzimanje mobilne sigurnosti zdravo za gotovo.
