Instrumente de hacking pentru iPhone, create pentru un client guvernamental, ajung pe mâna infractorilor cibernetici

Cercetătorii în securitate cibernetică au identificat un set de instrumente de hacking extrem de puternice, capabile să compromită iPhone-uri cu versiuni mai vechi de software, care, potrivit acestora, au ajuns din mâinile unui client guvernamental în posesia infractorilor cibernetici.

Google a anunțat marți că a identificat pentru prima dată acest kit de exploatare, denumit Coruna, în februarie 2025, în timpul unei tentative a unui furnizor de servicii de supraveghere de a infecta telefonul cuiva cu spyware, acționând în numele unui client guvernamental. Câteva luni mai târziu, aceeași suită de exploatări a fost depistată vizând utilizatori ucraineni într-o campanie la scară largă derulată de un grup rus de spionaj, iar ulterior a fost observată fiind folosită de un hacker din China motivat financiar.

Nu este clar cum au fost scurse sau cum s-au răspândit aceste instrumente, însă experții în securitate ai Google au avertizat asupra apariției unei piețe pentru exploatările „secondhand”, vândute hackerilor interesați doar de profit, care caută să stoarcă și mai multă valoare dintr-un exploit deja creat.

Descoperirea evidențiază și modul în care exploatările și backdoor-urile concepute pentru a fi folosite de guverne pot ajunge să fie divulgate și, în final, abuzate de infractori cibernetici sau de alți actori non-statali. Compania de securitate mobilă iVerify a obținut și a analizat în detaliu aceste instrumente de hacking, anunțând într-o postare pe blog că a conectat kitul de exploatare Coruna de guvernul Statelor Unite, pe baza asemănărilor cu alte instrumente de atac cibernetic atribuite anterior SUA.

„The more widespread the use, the more certain a leak will occur”, a declarat iVerify. „While iVerify has some evidence that this tool is a leaked US government framework, that shouldn’t overshadow the knowledge that these tools will find their way into the wild and will be used unscrupulously by bad actors.”

Potrivit Google, aceste instrumente de hacking sunt deosebit de puternice deoarece pot ocoli mecanismele de protecție ale unui iPhone doar prin simpla accesare a unui site malițios ce conține codul de exploit – de exemplu prin trimiterea și accesarea unui link periculos – într-un tip de atac cunoscut sub denumirea de „watering hole”. Coruna poate compromite un iPhone în cinci moduri diferite, bazându-se pe și combinând în lanț 23 de vulnerabilități distincte incluse în arsenalul său digital. Dispozitivele vizate variază de la modele de iPhone care rulează iOS 13 până la 17.2.1, versiune lansată în decembrie 2023.

Kitul Coruna include componente folosite anterior într-o campanie de hacking cunoscută sub numele de Operation Triangulation. În 2023, o firmă rusă de securitate cibernetică a susținut că guvernul SUA a încercat să pirateze mai multe iPhone-uri aparținând angajaților săi.

Deși scurgerile de instrumente de hacking sunt rare, ele nu sunt fără precedent. În 2017, Agenția Națională de Securitate a Statelor Unite a descoperit că unele dintre instrumentele dezvoltate pentru a pătrunde în calculatoare cu Windows din întreaga lume fuseseră furate. Backdoor-ul pentru Windows, cunoscut sub numele de EternalBlue, a fost ulterior publicat și utilizat de infractori cibernetici în atacuri ulterioare, inclusiv în atacul de tip ransomware WannaCry din 2017, atribuit Coreei de Nord.

A fost relatat recent și cazul lui Peter Williams, fost șef al contractorului american de apărare L3Harris Trenchant, condamnat la peste șapte ani de închisoare după ce a pledat vinovat pentru furtul și vânzarea a opt exploatări către un intermediar despre care se știa că lucrează cu guvernul rus.

Conform procurorilor, Williams a vândut exploatări capabile să compromită „milioane de computere și dispozitive” din întreaga lume, iar cel puțin un exploit a ajuns la un broker sud-coreean. Nu se știe dacă aceste vulnerabilități au fost vreodată dezvăluite producătorilor de software sau dacă au fost corectate prin patch-uri.