Содержание
Исследователи Google Threat Intelligence Group обнаружили сложный набор эксплойтов для iPhone, который отслеживают под именем Coruna. Внутри — не публичные уязвимости и обходы защит, а диапазон атак затрагивает iOS с 13.0 по 17.2.1.
По данным расследования, Coruna сначала применял клиент неназванной компании, которая продаёт софт для слежки. Позже набор эксплойтов всплыл у других злоумышленников, и часть цепочек успели использовать и российские, и китайские группы, прежде чем Google смогла забрать полный комплект.
Что именно нашли в Coruna и почему это не «обычный вирус»
Coruna выглядит как инструмент уровня государства. Мы говорим не про один эксплойт, а про целую «коробку» с вариантами сборки атаки под разные условия. Такой подход редко встречается у одиночек или небольших групп.
- Количество эксплойтов: 23
- Полные цепочки взлома: 5 (эксплойты комбинируются в разных конфигурациях)
- Особенность: атака рассчитана на компрометацию устройств массово, а не точечно
Команда iVerify называет Coruna первой известной массовой атакой на iOS. Это важная деталь. Коммерческий шпионский софт чаще работает «хирургически». Тут логика ближе к масштабной кампании.
Как Coruna попала к преступникам и что искали на iPhone
Полный набор эксплойтов Google смогла извлечь после того, как китайский злоумышленник развернул Coruna на нескольких сайтах, связанных с азартными играми и криптовалютами. Уже в этой версии финальная нагрузка была заточена под кражу данных.
- Цели: финансовая информация, включая криптокошельки
- Дополнительно: медиафайлы и чувствительные персональные данные
Важно, что Coruna «переехала» от изначального пользователя к другим игрокам. Это типичный сценарий для рынка эксплойтов и spyware: инструмент применяют в поле, его замечают, крадут, перепаковывают и запускают в новых кампаниях.
Что известно о возможном происхождении Coruna
IVerify изучила происхождение эксплойтов и документацию внутри набора. По их оценке, Coruna могли разработать как фреймворк уровня правительства США. Среди аргументов — обширная документация на «родном» английском и аккуратная, хорошо организованная структура, похожая на другие известные госфреймворки.
При этом в самой формулировке остаётся оговорка: это именно признаки и косвенные свидетельства, а не публичное подтверждение разработчика. Но уровень инженерии и количество цепочек взлома прямо намекают на бюджет и компетенции уровня nation-state.
Контекст: почему история напоминает EternalBlue
IVerify проводит параллель с EternalBlue — эксплойтом, который несколько лет использовало Агентство национальной безопасности США, а затем он утёк и стал оружием для других атак. Логика та же: «брокеры» и коммерческие продавцы не гарантируют, что такие инструменты не утекут и не начнут жить своей жизнью.
В iVerify также упоминают инициативу Pall Mall Process, которая как раз пытается ограничить безответственную разработку и продажу spyware. По их оценке, этот кейс укладывается в ту проблему, ради которой процесс и запускали.
Статус: какие версии iOS под угрозой
Coruna использует уязвимости против iPhone на iOS от 13.0 (релиз в сентябре 2019 года) до 17.2.1 (релиз в декабре 2023 года). В описании исследователей говорится, что обновление до актуальной версии iOS закрывает весь набор эксплойтов, который входил в Coruna.
Если вам нужны технические детали и индикаторы компрометации, их опубликовали Google Threat Intelligence Group. А iVerify отдельно описала устройство набора и его эволюцию в своём разборе: First known mass iOS attack.
Источники: Google Threat Intelligence Group (GTIG), iVerify
