|
Как стало известно AGI_LOG, в массовой хакерской кампании, нацеленной на пользователей iPhone в Украине и Китае, использовались инструменты, которые, вероятно, были разработаны американским военным подрядчиком L3Harris. Инструменты, которые предназначались для западных шпионов, попали в руки различных хакерских групп, в том числе российских правительственных шпионов и китайских киберпреступников.
На прошлой неделе Google сообщила, что в течение 2025 года она обнаружила, что сложный инструментарий для взлома iPhone использовался в серии глобальных атак. Инструментарий, названный его первоначальным разработчиком “Coruna”, состоял из 23 различных компонентов, которые впервые были использованы “в целевых операциях” неназванным государственным заказчиком неустановленного “поставщика средств наблюдения”. Затем он был использован российскими правительственными шпионами против ограниченного числа украинцев и, наконец, китайскими киберпреступниками “в широкомасштабных” кампаниях с целью кражи денег и криптовалюты.
Исследователи из компании iVerify, занимающейся мобильной кибербезопасностью, которая независимо проанализировала Coruna , заявили, что, по их мнению, изначально она могла быть создана компанией, которая продала ее правительству США.
Двое бывших сотрудников правительственного подрядчика L3Harris рассказали AGI_LOG, что Coruna была, по крайней мере частично, разработана технологическим подразделением компании Trenchant, занимающимся взломом и наблюдением. Оба бывших сотрудника были знакомы с инструментами взлома iPhone компании. Оба они говорили на условиях анонимности, поскольку не были уполномочены рассказывать о своей работе в компании.
“Coruna определенно было внутренним названием компонента”, - сказал один из бывших сотрудников L3Harris, который был знаком со средствами взлома iPhone в рамках своей работы в Trenchant.
“Судя по техническим деталям, - сказал этот человек, ссылаясь на некоторые доказательства, опубликованные Google, - многие из них знакомы”.
Бывший сотрудник сказал, что всеобъемлющий инструментарий Trenchant toolkit содержал несколько различных компонентов, включая Coruna и связанные с ней эксплойты. Другой бывший сотрудник подтвердил, что некоторые детали, включенные в опубликованный набор инструментов для взлома, были получены от Trenchant.
L3Harris продает инструменты взлома и слежки Trenchant исключительно правительству США и его союзникам по так называемому разведывательному альянсу Five Eyes, в который входят Австралия, Канада, Новая Зеландия и Соединенное Королевство. Учитывая ограниченное число клиентов Trenchant, вполне возможно, что изначально Coruna была приобретена и использовалась одной из правительственных спецслужб, прежде чем попасть в руки злоумышленников, хотя неясно, какая часть опубликованного набора инструментов для взлома Coruna была разработана L3Harris Trenchant.
Представитель L3Harris не ответил на запрос о комментариях.
Неясно, как Coruna попала из рук правительственного подрядчика Five Eyes к российской правительственной хакерской группе, а затем к китайской банде киберпреступников.
Но некоторые обстоятельства кажутся схожими с делом Питера Уильямса, бывшего генерального менеджера Trenchant. С 2022 года до своей отставки в середине 2025 года Уильямс продал восемь инструментов для взлома компании Operation Zero , российской компании, которая предлагает миллионы долларов в обмен на эксплойты нулевого дня, то есть уязвимости, которые неизвестны затронутому поставщику.
Уильямс, 39-летний гражданин Австралии, был приговорен к семи годам тюремного заключения в прошлом месяце после того, как признался в краже и продаже восьми передовых хакерских инструментов Operation Zero за 1,3 миллиона долларов.
Правительство США заявило, что Уильямс, который воспользовался “полным доступом” к сетям Trenchant, “предал” Соединенные Штаты и их союзников. Прокуратура обвинила его в утечке инструментов, которые могли позволить тому, кто их использовал, “потенциально получить доступ к миллионам компьютеров и устройств по всему миру”, предполагая, что эти инструменты основаны на уязвимостях, затрагивающих широко используемое программное обеспечение, такое как iOS.
Компания Operation Zero, которая была санкционирована правительством США в прошлом месяце, утверждает, что работает исключительно с российским правительством и местными компаниями. Министерство финансов США заявило, что российский брокер продал “украденные инструменты Williams по крайней мере одному неавторизованному пользователю”.
Это могло бы объяснить, как российская шпионская группа, которую Google идентифицировал только как UNC6353, приобрела Coruna и разместила ее на скомпрометированных украинских веб-сайтах, чтобы взломать определенных пользователей iPhone с определенной геолокации, которые невольно посетили вредоносный сайт.
Вполне возможно, что после того, как Operation Zero приобрела Coruna и, возможно, продала ее российскому правительству, брокер затем перепродал инструментарий кому-то еще, возможно, другому брокеру, в другой стране или даже напрямую киберпреступникам. Министерство финансов заявило, что член банды программ-вымогателей Trickbot сотрудничал с Operation Zero, связывая брокера с финансово мотивированными хакерами.
На тот момент Coruna, возможно, переходила в другие руки, пока не попала к китайским хакерам. По данным прокуратуры США, Уильямс узнал, что код, который он написал и продал Operation Zero, позже использовался южнокорейским брокером.
Исследователи Google написали во вторник, что два специфических эксплойта Coruna и лежащие в их основе уязвимости, названные разработчиками Photon и Gallium, были использованы в качестве "нулевых дней" в операции Triangulation, сложной хакерской кампании, предположительно использовавшейся против российских пользователей iPhone. Операция Triangulation была впервые раскрыта Касперским в 2023 году.
Рокки Коул, соучредитель iVerify, сказал AGI_LOG, что “лучшее объяснение, основанное на том, что известно на данный момент”, указывает на то, что Trenchant и правительство США были первоначальными разработчиками и клиентами Coruna. Хотя, добавил Коул, он не утверждает этого “окончательно”.
Эта оценка, по его словам, основана на трех факторах. Хронология использования Coruna совпадает с утечками Уильямса, структура трех модулей — плазменного, фотонного и галлиевого, — обнаруженных в Coruna, имеет сильное сходство с триангуляцией, и Coruna повторно использовала некоторые из тех же эксплойтов, которые использовались в этой операции, сказал он.
По словам Коула, “люди, близкие к оборонному сообществу”, утверждают, что плазма использовалась в операции “Триангуляция”, "хотя публичных доказательств этого нет" (ранее Коул работал в Агентстве национальной безопасности США).
По данным Google и iVerify, Coruna была разработана для взлома моделей iPhone под управлением iOS с 13 по 17.2.1, выпущенных в период с сентября 2019 по декабрь 2023 года. Эти даты совпадают с хронологией некоторых утечек информации Уильямса и раскрытием операции "Триангуляция".
Один из бывших сотрудников Trenchant рассказал AGI_LOG, что, когда в 2023 году впервые появилась информация о Triangulation, другие сотрудники компании полагали, что по крайней мере один из “нулевых дней”, обнаруженных Касперским, "был от нас и, возможно, "вырван" из общего проекта, в который входила Coruna.
Еще один важный момент, указывающий на Trenchant, — как отметил исследователь безопасности Костин Райу — это использование названий птиц для некоторых из 23 инструментов, таких как Казуар, птица-террор, Синяя птица, Джакуруту и воробей. В 2021 году The Washington Post сообщила, что Azimuth, один из двух стартапов, позже приобретенных L3Harris, и объединились в Trenchant , продал ФБР хакерский инструмент Condor в печально известном деле о взломе iPhone в Сан-Бернардино .
После того, как Kaspersky опубликовал свое исследование об операции Triangulation, Федеральная служба безопасности России (ФСБ) обвинила АНБ во взломе “тысяч” iPhone в России, в частности, в отношении дипломатов. Представитель Kaspersky заявил в то время, что у компании нет информации о заявлениях ФСБ. Пресс—секретарь отметил, что “признаки компрометации”, то есть признаки взлома, выявленные Российским национальным координационным центром по компьютерным инцидентам (NCCCI), были теми же, что и у Касперского.
Борис Ларин, исследователь безопасности в Kaspersky, сообщил AGI_LOG по электронной почте, что “несмотря на наши обширные исследования, мы не можем отнести операцию Triangulation к какой-либо известной группе продвинутых постоянных угроз или компании-разработчику эксплойтов”.
Ларин объяснил, что Google связал Coruna с операцией Triangulation, потому что они оба используют одни и те же уязвимости — Photon и Gallium.
“Атрибуция не может основываться исключительно на факте использования этих уязвимостей. Все подробности об обеих уязвимостях уже давно находятся в открытом доступе”, - сказал он, добавив, что эти две общие уязвимости “являются лишь верхушкой айсберга”, и поэтому ими мог воспользоваться любой желающий.
Касперский никогда публично не обвинял правительство США в том, что оно стоит за операцией "Триангуляция". Любопытно, что логотип, который компания создала для кампании, — логотип apple , состоящий из нескольких треугольников — напоминает логотип L3Harris . Это не может быть простым совпадением. Ранее "Касперский" заявлял, что не будет публично заявлять о хакерской кампании, но в то же время давал понять, что на самом деле знает, кто за ней стоит или кто предоставил инструменты для ее проведения.
В 2014 году компания Kaspersky объявила, что она поймала изощренную и неуловимую правительственную хакерскую группу, известную как “Careto” (по-испански “Маска”). Компания лишь сообщила, что хакеры говорили по-испански. Но на иллюстрации маски, которую компания использовала в своем отчете, были изображены красный и желтый цвета испанского флага, бычьи рога, кольцо в носу и кастаньеты.
Как сообщал AGI_LOG в прошлом году , исследователи из Лаборатории Касперского в частном порядке пришли к выводу, что “нет никаких сомнений”, как выразился один из них, в том, что Careto управляется правительством Испании.
В среду журналист по кибербезопасности Патрик Грей сказал в эпизоде своего подкаста Risky Business, что, по его мнению, основываясь на “обрывках информации”, в которых он был уверен, Уильямс передал в Operation Zero информацию о хакерском наборе, использованном в ходе операции. Кампания по триангуляции.
Apple, Google, Kaspersky и Operation Zero не ответили на запросы о комментариях.
