Хакерский набор Coruna, изначально разработанный американскими спецслужбами, утекла на чёрный рынок. Инструмент взламывает iPhone через цепочку из 23 уязвимостей — жертве нужно только перейти по вредоносной ссылке. За месяцы Coruna прошла путь от атак на украинцев (российская группировка) до криминальных операций китайских хакеров.
Google обнаружил эксплойт в феврале 2025 года, когда неизвестная компания внедряла шпионское ПО на iPhone в интересах правительственного клиента. Позже тот же набор всплыл в разведоперациях против украинских пользователей, а затем — у финансово мотивированных китайских группировок.
От секретного оружия до чёрного рынка
Компания iVerify, специализирующаяся на мобильной безопасности, проанализировала инструменты и подтвердила их связь с ЦРУ. Исследователи заметили очевидное: «Чем шире использование эксплойтов, тем выше риск утечки. Эти инструменты неизбежно переходят в руки киберпреступников».
Coruna работает через «водопойные» атаки. Жертве хватает посетить заражённый сайт или нажать на ссылку в мессенджере. Набор использует пять цепочек эксплуатации, каждая задействует несколько уязвимостей из списка в 23 штуки. Под ударом устройства с iOS 13 до 17.2.1 (версия до декабря 2023 года включительно).
По данным Wired, компоненты Coruna применялись в операции Triangulation. В 2023 году Kaspersky заявляла, что США пытались взломать iPhone её сотрудников именно через эту кампанию.
История повторяется
В 2017 году хакеры украли у АНБ инструмент EternalBlue для Windows. Год спустя его использовали в WannaCry — один из крупнейших вирусов-вымогателей всех времён, запущенный Северной Кореей.
В 2024 году Питер Уильямс, бывший руководитель оборонного подрядчика L3Harris, получил семь лет за продажу восьми эксплойтов российским посредникам. Прокуратура оценила потенциальный урон: проданные инструменты могли скомпрометировать миллионы компьютеров по всему миру.
Что делать
Владельцам iPhone: обновитесь до последней версии iOS. Apple закрывает уязвимости регулярно, но старые устройства остаются под угрозой. Не кликайте на подозрительные ссылки в мессенджерах и соцсетях — этого достаточно для заражения.
Случай иллюстрирует новый рынок: перепродажа правительственных инструментов обычным киберпреступникам. Снять с полки боевой эксплойт дешевле, чем искать собственную уязвимость.
