Инструмент для кибершпионажа угрожает миллионам iPhone по всему миру
3 мин
35
Инструмент Coruna, ранее применявшийся только в целевых кампаниях, стал потенциальной угрозой для миллионов устройств на iOS в разных странах. Эксперты «Лаборатории Касперского» провели его технический анализ и пришли к выводу, что он является обновлённой версией вредоносной программы из «Операции Триангуляция». Злоумышленники добавили проверки для новых процессоров Apple — A17, M3, M3 Pro и M3 Max, а также для iOS 17.2. Все они выпущены осенью и зимой 2023 года.
Это целевая кибератака на iOS устройства с использованием цепочки из четырёх уязвимостей нулевого дня. Атака отличается беспрецедентной для iOS систем технической сложностью. Впервые о ней стало известно в июне 2023 года. По оценкам экспертов, число жертв достигает нескольких тысяч человек, включая сотрудников коммерческих, государственных и дипломатических организаций в РФ и её представительствах за рубежом.
Coruna скрытно определяет модель устройства и версию iOS, выбирает комбинацию вредоносных программ и перехватывает управление смартфоном. Весь процесс идёт без действий пользователя. Это модульный набор, который содержит разные нагрузки в зависимости от цели — от шпионажа до кражи криптовалюты. Его текущую версию исследователи задокументировали в марте 2026 года.
Модифицированная Coruna включает проверку для iOS 16.5 beta 4. Эта версия вышла для исправления уязвимостей, о которых ранее сообщила Apple. В ходе анализа эксперты нашли ещё четыре вредоносные программы уровня ядра. Все они основаны на одном механизме эксплуатации и отсутствовали в «Операции Триангуляция». Два были разработаны уже после обнаружения той кампании.
Сходство в коде прослеживается не только в этих программах, но и в других компонентах Coruna. На основе таких находок исследователи сделали вывод: набор спроектирован единым образом, а не составлен из разрозненных частей. Ранее однозначно связать Coruna с «Операцией Триангуляция» не удавалось, поскольку использование одних и тех же уязвимостей само по себе не является доказательством.
Технический анализ показал: Coruna — результат эволюции оригинального фреймворка из «Операции Триангуляция». Эксперты отметили, что глобальный ландшафт угроз усложняется, поэтому обновлённый инструмент для кибершпионажа теперь может использоваться шире. Это ставит под угрозу устройства миллионов пользователей по всему миру. Apple выпустила патчи для уязвимостей, которые эксплуатирует Coruna. Устройства без обновлений остаются под угрозой.
