「Coruna」として知られる高度なiPhone脆弱性悪用ツールキットが、新しい研究により米国防請負業者L3Harrisから発信された可能性が高いことが示唆された後、ロシアのスパイと中国のサイバー犯罪者の手に渡る前に、増加する論争の中心となっています。
このケースは、政府レベルのiOS脆弱性がどのようにして漏洩し、再利用され、一般的なiPhoneユーザーに対するグローバルな諜報活動と金銭的に動機付けられた攻撃を助長するかを強調しています。
GoogleのThreat Intelligence Groupは最近、Corunaと呼ばれる強力なiOS脆弱性悪用キットを公開しました。このキットは5つの攻撃チェーン全体で23の脆弱性を結合し、水飲み場攻撃を通じてiOS 13から17.2.1を実行しているiPhoneを侵害します。
侵害されたウェブサイトを訪問するだけで、パッチが適用されていないデバイスでリモートコード実行、サンドボックス破出、およびカーネル侵害をトリガーするのに十分であり、攻撃者がデータを盗む、被害者をスパイする、さらには暗号資産ウォレットをターゲットにすることができるペイロードを展開できます。
Googleによると、Corunaは最初、商用サーベイランスベンダーの名前のない政府顧客による「高度に標的化された」作業で観察され、その後、ロシアの国家ハッカーによって選別されたウクライナユーザーに対して再配置され、その後、金銭的盗難に焦点を当てた中国のサイバー犯罪グループによって大規模に悪用されました。
このライフサイクルは明確なパターンを示しています。エリートのゼロデイチェーンがその元の顧客セットから脱出すると、すぐに「中古」脆弱性のより広い地下市場の一部になります。
モバイルセキュリティ企業iVerifyの研究者は、Corunaが米国政府にサービスを提供している企業によって構築された可能性が高いと別々に評価しましたが、決定的な帰属には至りませんでした。
新たなタイムラインは、Trenchantでの大規模な内部盗難事件と重複しています。前般向マネージャーのPeter Williamsが関わっており、彼は最近、ロシアの脆弱性ブローカーOperation Zeroに8つのオフェンシブツールを盗んで売却したとして約130万ドルで米国で有罪判決を受けました。
米国の検察は、これらのツールが「数百万のコンピューターとデバイス」へのアクセスを可能にした可能性があると述べ、iOSのような広く展開されているプラットフォームをターゲットにしていたことを強調しました。
米国財務省によって現在制裁されているOperation Zeroは、ロシア政府の顧客および少なくとも1人の無認可購入者と協力していると主張しており、それにより、Coruna関連の脆弱性がロシアの諜報グループとダウンストリームのサイバー犯罪者に到達するための複数の経路を作成しています。
Corunaのコードベースの一部は、PhotonおよびGalliumとしてコード化された脆弱性と重複しています。これらは、Kaspersky が2023年に開示した洗練されたキャンペーンであるOperation Triangulationでゼロデイとして以前に使用された同じ脆弱性で、ロシア内部で使用されているデバイスを含むiPhoneをターゲットにしました。
GoogleとiVerifyは、Corunaがこれらのバグの再利用可能なモジュールを埋め込んでいると報告し、一部の専門家は、TriangulationとCorunaの背後にある脆弱性悪用フレームワークが、Plasma、Photon、Galliumなどの共通のエンジニアリングパターンとモジュールを共有していると考えています。
翻訳元: https://cyberpress.org/iphone-hacking-toolkit-used-by-russian/