- 24,922
- 46
- 8 Ноя 2022
Как эксплойт Coruna превратился в главную загадку кибербезопасности.
«Лаборатория Касперского» отвергла версию о том, что набор эксплойтов для iPhone, недавно описанный Google, разработали авторы цепочек уязвимостей, использованных в операции «Триангуляция» в 2023 году . Главный аргумент компании - в опубликованных материалах нет признаков реального повторного использования кода, поэтому связывать Coruna с теми же разработчиками некорректно.
На неделе Google Threat Intelligence Group (GTIG) выпустила отчет о Coruna - сложном наборе эксплойтов для iOS, который, по оценке исследователей, могли применять коммерческие поставщики шпионского ПО и или государственные группы. По данным Google, атака могла срабатывать при посещении сайта и включала 23 уязвимости, затрагивающие iOS 13-17.2.1, и пять полных цепочек эксплуатации. Google начал отслеживать Coruna в феврале 2025 года после перехвата фрагментов цепочки эксплуатации, использованной клиентом компании из индустрии наблюдения.
Публикация GTIG быстро вызвала обсуждения вокруг возможного происхождения инструмента. Некоторые эксперты предположили связь с американскими структурами, а сооснователь iVerify Рокки Коул после изучения кода заявил Wired , что разработка могла стоить миллионы долларов и «несет характерные признаки» модулей, которые ранее публично связывали с правительством США. Коул также утверждал, что речь может идти о первом заметном случае, когда инструменты, вероятно связанные с США, «вышли из-под контроля» и начали использоваться противниками и киберпреступными группами.
Отдельные вопросы появились из-за пересечений по уязвимостям с операцией «Триангуляция». Операцию «Триангуляция» публично описала «Лаборатория Касперского» в 2023 году, а ФСБ тогда связала атаку с Агентством национальной безопасности США. В отчете GTIG упоминаются CVE-2023-32434 и CVE-2023-38606, известные под кодовыми именами Photon и Gallium, которые входили в набор уязвимостей, задействованных в операции «Триангуляция». При этом исследователь Kaspersky GReAT Борис Ларин подчеркнул, что совпадение CVE не означает общего автора: обе уязвимости уже получили публичные реализации, поэтому «любая достаточно сильная команда» способна написать собственные эксплойты без доступа к исходному коду «Триангуляции», а «доказательств реального реюза кода» в опубликованных отчетах нет.
Google, со своей стороны, описывает Coruna как инструмент, который использовали разные операторы для разных задач, что может указывать на активный и пока недоизученный рынок перепродажи «вторичных» zero-day для самых обеспеченных покупателей. GTIG связывает одну из линий активности с летом 2025 года, когда вредоносный JavaScript-фреймворк размещали на украинских сайтах и подгружали через скрытый iFrame, а доставку ограничивали пользователями iPhone из заданной геолокации. К концу 2025 года похожий фреймворк, по данным Google, хостился на большом наборе поддельных китайских сайтов, связанных с финансами и криптовалютами, где посетителей пытались подтолкнуть к открытию страницы с iOS-устройства.
Дополнительный штрих к версии об иностранном происхождении - англоязычные кодовые имена у эксплойтов, которые GTIG увидела после ошибки одного из операторов: в ход пошла debug-версия, раскрывшая внутренние названия. Среди примеров Google приводит WebKit-уязвимость CVE-2024-23222 с кодовым именем cassowary и баг ядра CVE-2020-27932, обозначенный как Neutron. В конце материала <em>The Register</em> сообщил, что редакция запросила комментарий у NSA, а Google опубликовала технические детали работы Coruna и индикаторы компрометации в своем блоге .
«Лаборатория Касперского» отвергла версию о том, что набор эксплойтов для iPhone, недавно описанный Google, разработали авторы цепочек уязвимостей, использованных в операции «Триангуляция» в 2023 году . Главный аргумент компании - в опубликованных материалах нет признаков реального повторного использования кода, поэтому связывать Coruna с теми же разработчиками некорректно.
На неделе Google Threat Intelligence Group (GTIG) выпустила отчет о Coruna - сложном наборе эксплойтов для iOS, который, по оценке исследователей, могли применять коммерческие поставщики шпионского ПО и или государственные группы. По данным Google, атака могла срабатывать при посещении сайта и включала 23 уязвимости, затрагивающие iOS 13-17.2.1, и пять полных цепочек эксплуатации. Google начал отслеживать Coruna в феврале 2025 года после перехвата фрагментов цепочки эксплуатации, использованной клиентом компании из индустрии наблюдения.
Публикация GTIG быстро вызвала обсуждения вокруг возможного происхождения инструмента. Некоторые эксперты предположили связь с американскими структурами, а сооснователь iVerify Рокки Коул после изучения кода заявил Wired , что разработка могла стоить миллионы долларов и «несет характерные признаки» модулей, которые ранее публично связывали с правительством США. Коул также утверждал, что речь может идти о первом заметном случае, когда инструменты, вероятно связанные с США, «вышли из-под контроля» и начали использоваться противниками и киберпреступными группами.
Отдельные вопросы появились из-за пересечений по уязвимостям с операцией «Триангуляция». Операцию «Триангуляция» публично описала «Лаборатория Касперского» в 2023 году, а ФСБ тогда связала атаку с Агентством национальной безопасности США. В отчете GTIG упоминаются CVE-2023-32434 и CVE-2023-38606, известные под кодовыми именами Photon и Gallium, которые входили в набор уязвимостей, задействованных в операции «Триангуляция». При этом исследователь Kaspersky GReAT Борис Ларин подчеркнул, что совпадение CVE не означает общего автора: обе уязвимости уже получили публичные реализации, поэтому «любая достаточно сильная команда» способна написать собственные эксплойты без доступа к исходному коду «Триангуляции», а «доказательств реального реюза кода» в опубликованных отчетах нет.
Google, со своей стороны, описывает Coruna как инструмент, который использовали разные операторы для разных задач, что может указывать на активный и пока недоизученный рынок перепродажи «вторичных» zero-day для самых обеспеченных покупателей. GTIG связывает одну из линий активности с летом 2025 года, когда вредоносный JavaScript-фреймворк размещали на украинских сайтах и подгружали через скрытый iFrame, а доставку ограничивали пользователями iPhone из заданной геолокации. К концу 2025 года похожий фреймворк, по данным Google, хостился на большом наборе поддельных китайских сайтов, связанных с финансами и криптовалютами, где посетителей пытались подтолкнуть к открытию страницы с iOS-устройства.
Дополнительный штрих к версии об иностранном происхождении - англоязычные кодовые имена у эксплойтов, которые GTIG увидела после ошибки одного из операторов: в ход пошла debug-версия, раскрывшая внутренние названия. Среди примеров Google приводит WebKit-уязвимость CVE-2024-23222 с кодовым именем cassowary и баг ядра CVE-2020-27932, обозначенный как Neutron. В конце материала <em>The Register</em> сообщил, что редакция запросила комментарий у NSA, а Google опубликовала технические детали работы Coruna и индикаторы компрометации в своем блоге .
- Источник новости
- www.securitylab.ru
