TechCrunch дізнався, що масована кампанія зламу користувачів iPhone в Україні та Китаї використовувала інструменти, які, ймовірно, були розроблені американським оборонним підрядником L3Harris. Ці інструменти, призначені для західних шпигунів, опинилися в руках різних хакерських груп, включаючи російських державних шпигунів та китайських кіберзлочинців.
Минулого тижня Google повідомив, що протягом 2025 року виявив, як складний набір інструментів для зламу iPhone використовувався в серії глобальних атак. Цей набір, названий його оригінальним розробником «Coruna», складався з 23 різних компонентів, вперше використаних «у високоцільових операціях» неназваним державним замовником невизначеного «постачальника стеження». Згодом його використовували російські державні шпигуни проти обмеженої кількості українців і, нарешті, китайські кіберзлочинці в «широкомасштабних» кампаніях з метою крадіжки грошей та криптовалюти.
Дослідники з компанії мобільної кібербезпеки iVerify, які незалежно проаналізували Coruna, заявили, що вважають: він міг бути спочатку створений компанією, яка продала його уряду США.
Двоє колишніх працівників державного підрядника L3Harris повідомили TechCrunch, що Coruna був, принаймні частково, розроблений підрозділом компанії зі зламу та технологій стеження Trenchant. Обидва колишні працівники мали знання про інструменти компанії для зламу iPhone. Обидва говорили на умовах анонімності, оскільки не були уповноважені обговорювати свою роботу в компанії.
«Coruna, безумовно, був внутрішньою назвою компонента», — сказав один колишній працівник L3Harris, який у рамках своєї роботи в Trenchant був обізнаний з інструментами для зламу iPhone.
«Дивлячись на технічні деталі», — сказала ця людина, посилаючись на деякі докази, опубліковані Google, — «так багато знайомого».
Колишній працівник сказав, що загальний набір інструментів Trenchant містив кілька різних компонентів, включаючи Coruna та пов’язані експлойти. Інший колишній працівник підтвердив, що деякі деталі, включені до опублікованого набору інструментів для зламу, походять від Trenchant.
L3Harris продає інструменти зламу та стеження Trenchant виключно уряду США та його союзникам у так званому розвідувальному альянсі «П’яти очей» (Five Eyes), до якого входять Австралія, Канада, Нова Зеландія та Велика Британія. Враховуючи обмежену кількість клієнтів Trenchant, можливо, що Coruna спочатку був придбаний і використаний однією з розвідувальних агенцій цих урядів, перш ніж потрапити в ненавмисні руки, хоча незрозуміло, яка частина опублікованого набору інструментів зламу Coruna була розроблена L3Harris Trenchant.
Представник L3Harris не відповів на запит про коментар.
Неясно, як Coruna потрапив від підрядника уряду «П’яти очей» до російської державної хакерської групи, а потім до китайської кіберзлочинної угруповання.
Але деякі обставини видаються подібними до справи Пітера Вільямса, колишнього генерального менеджера Trenchant. З 2022 року до своєї відставки в середині 2025 року Вільямс продав вісім інструментів компанії Operation Zero — російській компанії, яка пропонує мільйони доларів в обмін на zero-day експлойти, тобто вразливості, невідомі постраждалому вендору.
39-річний громадянин Австралії Вільямс минулого місяця був засуджений до семи років ув’язнення після того, як визнав себе винним у крадіжці та продажу восьми інструментів зламу Trenchant компанії Operation Zero за 1,3 мільйона доларів.
Уряд США заявив, що Вільямс, який скористався «повним доступом» до мереж Trenchant, «зрадив» Сполучені Штати та їхніх союзників. Прокурори звинуватили його у витоку інструментів, які могли дозволити тим, хто їх використовував, «потенційно отримати доступ до мільйонів комп’ютерів і пристроїв по всьому світу», припускаючи, що інструменти покладалися на вразливості, які впливали на широко використовуване програмне забезпечення, таке як iOS.
Operation Zero, яка минулого місяця потрапила під санкції уряду США, стверджує, що працює виключно з російським урядом та місцевими компаніями. Міністерство фінансів США заявило, що російський брокер продав «вкрадені інструменти Вільямса принаймні одному неавторизованому користувачу».
Це пояснило б, як російська шпигунська група, яку Google ідентифікував лише як UNC6353, отримала Coruna і розгорнула його на скомпрометованих українських вебсайтах, щоб він зламував певних користувачів iPhone з певної геолокації, які ненавмисно відвідували зловмисний сайт.
Можливо, що після того, як Operation Zero отримав Coruna і потенційно продав його російському уряду, брокер перепродав набір інструментів комусь іншому — можливо, іншому брокеру, іншій країні або навіть безпосередньо кіберзлочинцям. Міністерство фінансів стверджувало, що учасник угруповання програми-вимагача Trickbot співпрацював з Operation Zero, пов’язуючи брокера з хакерами, мотивованими фінансовою вигодою.
На той момент Coruna, можливо, перейшов до інших рук, поки не потрапив до китайських хакерів. За даними американських прокурорів, Вільямс впізнав код, який він написав і продав Operation Zero, а згодом використаний південнокорейським брокером.
Дослідники Google написали у вівторок, що два конкретні експлойти Coruna та базові вразливості, названі оригінальними розробниками Photon і Gallium, використовувалися як zero-day в Operation Triangulation — складній хакерській кампанії, яка нібито використовувалася проти російських користувачів iPhone. Operation Triangulation була вперше виявлена Kaspersky у 2023 році.
Рокі Коул, співзасновник iVerify, сказав TechCrunch, що «найкраще пояснення, виходячи з того, що відомо зараз», вказує на Trenchant та уряд США як на оригінальних розробників і замовників Coruna. Хоча, додав Коул, він не стверджує цього «однозначно».
Ця оцінка, сказав він, ґрунтується на трьох факторах. Хронологія використання Coruna збігається з витоками Вільямса; структура трьох модулів — Plasma, Photon і Gallium — знайдених у Coruna, має сильну схожість із Triangulation; і Coruna повторно використовував деякі з тих самих експлойтів, що використовувалися в цій операції.
За словами Коула, «люди, наближені до оборонної спільноти», стверджують, що Plasma використовувався в Operation Triangulation, «хоча немає публічних доказів цього». (Раніше Коул працював у Агентстві національної безпеки США.)
За даними Google та iVerify, Coruna був розроблений для зламу моделей iPhone під керуванням iOS 13–17.2.1, випущених між вереснем 2019 та груднем 2023 року. Ці дати збігаються з хронологією деяких витоків Вільямса та виявленням Operation Triangulation.
Один із колишніх працівників Trenchant повідомив TechCrunch, що коли Triangulation була вперше виявлена в 2023 році, інші працівники компанії вважали, що принаймні один із zero-day, виявлених Kaspersky, «був від нас і, ймовірно, “вирваний” із» загального проекту, що включав Coruna.
Ще одна підказка, яка вказує на Trenchant — як зазначив дослідник безпеки Костін Раю — це використання назв птахів для деяких із 23 інструментів, таких як Cassowary, Terrorbird, Bluebird, Jacurutu та Sparrow. У 2021 році The Washington Post повідомила, що Azimuth — один із двох стартапів, пізніше придбаних L3Harris та об’єднаних у Trenchant — продав інструмент зламу під назвою Condor ФБР у гучній справі про злам iPhone в Сан-Бернардіно.
Після того, як Kaspersky опублікував своє дослідження Operation Triangulation, Федеральна служба безпеки Росії (ФСБ) звинуватила АНБ у зламі «тисяч» iPhone у Росії, націлюючись зокрема на дипломатів. Представник Kaspersky тоді заявив, що компанія не має інформації про заяви ФСБ. Представник зазначив, що «індикатори компрометації» (тобто докази зламу), виявлені Російським національним координаційним центром з комп’ютерних інцидентів (NCCCI), були тими самими, які виявив Kaspersky.
Борис Ларін, дослідник безпеки в Kaspersky, повідомив TechCrunch електронною поштою, що «незважаючи на наше обширне дослідження, ми не можемо приписати Operation Triangulation жодній відомій групі [передових стійких загроз] або компанії з розробки експлойтів».
Ларін пояснив, що Google пов’язав Coruna з Operation Triangulation, тому що вони обидва експлуатують одні й ті самі дві вразливості — Photon і Gallium.
«Атрибуція не може ґрунтуватися виключно на факті експлуатації цих вразливостей. Всі деталі обох вразливостей вже давно є загальнодоступними», і тому будь-хто міг ними скористатися, сказав він, додавши, що ці дві спільні вразливості «є лише верхівкою айсберга».
Kaspersky ніколи публічно не звинувачував уряд США у причетності до Operation Triangulation. Цікаво, що логотип, який компанія створила для цієї кампанії — логотип Apple, що складається з кількох трикутників — нагадує логотип L3Harris, а власний логотип Trenchant складається з двох трикутників. Це може бути не збігом. Раніше Kaspersky заявляв, що не буде публічно приписувати хакерську кампанію, водночас тихо натякаючи, що насправді знає, хто за нею стоїть, або хто надав для неї інструменти.
У 2014 році Kaspersky оголосив, що виявив складну та невловиму державну хакерську групу, відому як «Careto» (іспанською «Маска»). Компанія лише зазначила, що хакери розмовляли іспанською. Але ілюстрація маски, використана компанією у звіті, включала червоний та жовтий кольори іспанського прапора, бичачі роги та кільце в носі, а також кастаньєти.
Як розкрив TechCrunch минулого року, дослідники Kaspersky приватно дійшли висновку, що «немає жодних сумнівів», як висловився один із них, що Careto керувала іспанська урядом.
У середу журналіст з кібербезпеки Патрік Грей заявив в епізоді свого подкасту Risky Business, що він вважає — ґрунтуючись на «уривках», у яких він впевнений — що те, що Вільямс витік до Operation Zero, було хакерським набором, використаним у кампанії Triangulation.
Apple, Google та Operation Zero не відповіли на запити про коментарі.
Цей допис вперше опубліковано 9 березня о 18:56 за тихоокеанським часом.
Залишити відповідь