Аналитики Google опубликовали доклад о хакерском наборе Coruna – одном из наиболее технически сложных инструментов для взлома iPhone из когда-либо выявленных в открытом пространстве. Исследователи из компании iVerify, параллельно изучавшие тот же код, пришли к выводу: с высокой вероятностью этот инструмент изначально был разработан по заказу правительства США – и затем вышел из-под контроля.
Как работает Coruna
Coruna – это не один эксплойт, а полноценная платформа: пять цепочек атак, суммарно использующих 23 уязвимости в iOS версий от 13 до 17.2.1, то есть в системах, вышедших с сентября 2019 по декабрь 2023 года. Атака запускается, когда пользователь переходит на сайт с вредоносным кодом: скрытый JavaScript определяет модель устройства и версию ОС, после чего набор последовательно обходит все защитные слои iPhone, получает привилегированный доступ и устанавливает шпионское ПО. Никакого дополнительного взаимодействия не требуется – достаточно одного клика по ссылке.
От шпиона к шпиону
Впервые в Google зафиксировали Coruna в феврале 2025 года – в ходе операции, которую аналитики описали лишь как работу «клиента некоей компании по слежке». Пять месяцев спустя тот же инструментарий всплыл в инфраструктуре предполагаемой российской разведки: хакеры внедрили эксплойты в счётчики посещений на украинских сайтах – стандартный механизм веб-аналитики. Третья волна атак носила уже откровенно криминальный характер: Coruna использовали для взлома китайскоязычных сайтов с криптовалютой и онлайн-казино с целью похищения цифровых активов пользователей.
По оценке iVerify, жертвами атак могли стать уже около 42 000 устройств – это лишь задокументированные случаи. Уязвимыми остаются примерно 5% владельцев iPhone, до сих пор не обновившихся до актуальных версий iOS.
Следы американского происхождения
Компания iVerify в лице сооснователя Рокки Коула прямо указала на вероятное государственное происхождение Coruna: код написан носителями английского языка на профессиональном уровне, документирован как корпоративный продукт, а его разработка потребовала, по оценкам, миллионов долларов.
«Это первый случай, когда инструменты, по всей видимости принадлежавшие правительству США, – если верить тому, что нам говорит код, – вышли из-под контроля и теперь применяются как нашими противниками, так и преступными группировками», – заявил Коул в интервью изданию WIRED.
Кроме того, оба исследовательских центра установили, что ряд компонентов Coruna совпадает с элементами операции «Триангуляция», раскрытой в 2023 году: тогда атаке подверглись iPhone сотрудников «Лаборатории Касперского», а российские власти возложили ответственность на АНБ США. Американская сторона это обвинение не опровергла и не подтвердила.
Что это означает
Apple уже выпустила патчи, закрывающие все 23 уязвимости в актуальных версиях iOS. Однако сама по себе история Coruna ставит более широкий вопрос: государственные инструменты, однажды покинув засекреченный периметр, живут собственной жизнью. Google прямо предупреждает: редкий и дорогостоящий хакерский арсенал прошёл через несколько неожиданных рук и теперь доступен любому, кто захочет его адаптировать для атак на владельцев iPhone.
