Мощный фреймворк для взлома iOS, который изначально, по всей видимости, использовался в интересах правительственной слежки, теперь применяют киберпреступники для кражи криптовалюты и данных обычных владельцев iPhone. Набор инструментов, получивший название Coruna, стал наглядным примером того, как разработки «государственного уровня» могут утечь на серый рынок, быть перепроданы и в итоге попасть в руки криминальных групп.
Что такое Coruna
По данным технического анализа, опубликованного Google и компанией мобильной безопасности iVerify, Coruna включает:
- 5 полноценных цепочек эксплуатации (exploit chains),
- 23 уязвимости iOS,
- механизмы обхода большинства защитных механизмов, внедрённых Apple в iOS 13–17.2.1.
Фактически речь идет о превращении обычной веб-страницы в «тихий» вектор заражения для устройств без актуальных патчей.
Целью атак становится движок браузера WebKit — компонент, лежащий в основе всех браузеров на iOS. Это означает, что заражение возможно через любой браузер, если устройство уязвимо.
Как работает атака
Эксплуатация начинается с JavaScript-кода, который:
- Определяет модель устройства.
- Проверяет версию iOS и уровень обновлений.
- Подбирает подходящую цепочку уязвимостей.
Затем происходит эскалация прав — от браузерного процесса к ядру системы — и установка загрузчика с root-доступом. После этого на устройство может быть доставлен любой полезный вредоносный модуль.
Специалисты Google отмечают, что используемые методы обхода защит и «невидимые» техники эксплуатации указывают на хорошо финансируемого разработчика с глубоким пониманием архитектуры безопасности Apple.
От шпионажа к массовому заражению
Первые фрагменты Coruna специалисты Google зафиксировали в феврале прошлого года — в кампании, связанной с «клиентом компании по наблюдению». Это говорит о том, что изначально инструмент создавался как целевой шпионский набор.
Позже более полноценная версия всплыла в операции, которую приписали группе, связанной с российской разведкой: эксплойт был встроен в виджет счётчика посещений на украинских сайтах, заражая пользователей выборочно — по географическому признаку.
Однако затем Coruna появился в совсем иной среде — в массовых кампаниях на китайскоязычных сайтах криптовалют и онлайн-гемблинга. В этом случае любой пользователь iOS с уязвимой версией системы рисковал получить вредоносную нагрузку.
По оценке iVerify, только в одной криминальной кампании могло быть заражено около 42 000 устройств.
Связь с «Triangulation»
Исследователи обнаружили пересечения кода Coruna с компонентами операции «Triangulation», разоблачённой в 2023 году и направленной против «Лаборатории Касперского» (Kaspersky). Российские власти тогда публично обвинили в причастности National Security Agency (NSA), хотя официальных комментариев из Вашингтона не последовало.
Сооснователь iVerify Рокки Коул, ранее работавший в NSA, утверждает, что по инженерным «отпечаткам» код выглядит как продукт англоязычных разработчиков и напоминает решения, ранее связывавшиеся в открытых источниках с американскими государственными программами.
Он сравнивает ситуацию с историей утечки EternalBlue — эксплойта для Windows, также приписываемого NSA, который впоследствии использовался в масштабных атаках WannaCry и NotPetya.
От шпионажа к краже криптовалюты
В китайской инфраструктуре Coruna был модифицирован под финансовую кражу. После успешной эксплуатации устройство получало загрузчик, который:
- искал криптокошельки,
- собирал учётные данные бирж,
- в ряде случаев получал доступ к фотографиям и электронной почте.
Интересно, что сам фреймворк выглядит технически аккуратным и продуманным, тогда как криминальные модули поверх него — сравнительно примитивными. Это усиливает гипотезу о том, что изначально высококлассный инструмент был повторно использован менее квалифицированными злоумышленниками.
Вторичный рынок zero-day
Google предупреждает о формировании «вторичного рынка» эксплойт-фреймворков. Инструменты, разработанные для госструктур, могут попадать к брокерам, которые затем перепродают их различным покупателям — разведслужбам, правоохранительным органам и, потенциально, преступникам.
Показательный пример — дело Питера Уильямса, бывшего руководителя американского оборонного подрядчика Trenchant. Он признал, что похитил как минимум восемь zero-day-эксплойтов и продал их российскому брокеру Operation Zero. Ущерб оценён в десятки миллионов долларов.
По мнению Коула, многие брокеры действуют прагматично: они могут продавать один и тот же набор нескольким клиентам, если те готовы платить.
Даже после патчей — проблема остаётся
Apple закрыла известные уязвимости Coruna в актуальных версиях iOS. Однако сами техники — методы управления памятью, побега из песочницы и обхода защит — уже «гуляют» по рынку и могут быть адаптированы к новым багам.
Именно это делает ситуацию особенно тревожной: речь идёт не просто об одном наборе уязвимостей, а о переносимом инженерном опыте, который теперь доступен множеству игроков.
Coruna демонстрирует опасную эволюцию: инструменты, создаваемые для точечного государственного шпионажа, со временем могут превратиться в массовое оружие киберпреступности.
Если раньше подобные эксплойты применялись точечно и скрытно, то теперь их жизненный цикл всё чаще заканчивается атаками на обычных пользователей — с кражей криптовалюты и персональных данных.
Граница между «государственным кибероружием» и коммерческим киберпреступным инструментарием становится всё менее чёткой.
