«Лаборатория Касперского» нашла шпионский инструмент для взлома iPhone, связанный с кибератакой «Операция Триангуляция»

Эксперты «Лаборатории Касперского» провели технический анализ кода Coruna. Coruna представляет собой сложный инструмент для кибершпионажа, нацеленный на iPhone. Исследователи установили, что как минимум один компонент Coruna использовался в сложной кибератаке «Операция Триангуляция». Об этой атаке «Лаборатория Касперского» рассказала в 2023 году.

Coruna — это сложный набор инструментов, предназначенный для удалённой компрометации iPhone. Он скрытно определяет модель устройства и версию iOS, выбирает подходящую комбинацию эксплойтов и перехватывает управление смартфоном жертвы. Весь процесс происходит без каких-либо действий со стороны пользователя. Coruna представляет собой модульный набор инструментов, содержащий разные вредоносы (ВПО) в зависимости от цели злоумышленника. Набор ВПО варьируется от шпионажа до кражи криптовалюты.

По словам специалистов из «Лаборатории Касперского», инструмент, который раньше применялся в целевых кампаниях, получил более широкое распространение и выступает угрозой для миллионов устройств на iOS в разных странах. Например, злоумышленники добавили в эксплойт проверки для новых процессоров Apple. Среди них A17, M3, M3 Pro и M3 Max. Все они были выпущены осенью и зимой 2023 года.

Также модифицированный эксплойт включает в себя специфическую проверку для iOS 16.5 beta 4, выпущенную для исправления уязвимостей, о которых «Лаборатория Касперского» сообщала Apple.

В ходе анализа исследователи нашли ещё четыре эксплойта уровня ядра. Эти эксплойты основаны на одном механизме эксплуатации и отсутствовали в «Операции Триангуляция». Два из них были разработаны уже после обнаружения этой кампании.

Как отмечают в исследовании кибербез-специалисты, сходства в коде прослеживаются не только в эксплойтах, но и в