Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 18+
Image

Угроза есть, а инфы нет? Не паникуем, а копаем

Практический гайд по выживанию в SOC, когда стандартные фиды бессильны.

Айфон превращается в тыкву. Почему старая версия iOS стала подарком для шпионов со всего мира

Coruna эксплойт iPhone уязвимость шпионаж WebKit CISA
Айфон превращается в тыкву. Почему старая версия iOS стала подарком для шпионов со всего мира
Coruna эксплойт iPhone уязвимость шпионаж WebKit CISA

Google раскрыла арсенал для взлома iPhone, а CISA потребовала срочно закрыть три критические уязвимости.

image

На рынке кибершпионажа всплыла редкая и тревожная находка: сразу несколько хакерских групп в течение десяти месяцев использовали один и тот же мощный набор эксплойтов для взлома iPhone. История дошла до такого уровня, что Агентство по кибербезопасности и защите инфраструктуры США, CISA, потребовало от федеральных ведомств срочно закрыть три критические уязвимости в iOS, которые фигурировали в атаках.

О существовании кампаний рассказала Google. Исследователи описали набор под внутренним именем Coruna. По сути, речь идет о полноценном арсенале для взлома iPhone, где собрали 23 отдельных эксплойта и объединили их в пять рабочих цепочек атак. Часть уязвимостей уже применялась раньше как zero-day в других операциях, но к моменту, когда Google зафиксировала Coruna в деле, Apple уже выпустила исправления. Проблема в другом: старые версии iOS все еще оставались уязвимыми, а качество кода и уровень обхода защит делали набор крайне опасным.

Исследователи Google назвали главной ценностью Coruna не одну конкретную брешь, а именно широту охвата. В комплект вошли инструменты для разных поколений iOS, подробная внутренняя документация на английском языке, а в наиболее сложных модулях использовались непубличные методы эксплуатации и обхода защитных механизмов Apple. По оценке Google, такой набор говорит о работе очень сильных специалистов.

На прошлой неделе CISA внесла в каталог известных эксплуатируемых уязвимостей три CVE: CVE-2021-30952, CVE-2023-41974 и CVE-2023-43000. Федеральные структуры обязали установить исправления, а всем остальным организациям агентство рекомендовало сделать то же самое. Эксплойты из Coruna работают на iOS от версии 13 до 17.2.1. Более новые версии уязвимости не затрагивают. Дополнительную защиту дает режим Apple Lockdown, а также приватный режим браузера, при котором атака не срабатывает.

Сам Coruna интересен не только списком дыр, но и архитектурой. В набор вошел ранее не замеченный JavaScript-фреймворк с необычной обфускацией, которая мешает обнаружению и реверс-инжинирингу. После запуска фреймворк сначала собирал данные об устройстве, затем подбирал подходящий эксплойт для WebKit, а после пытался обойти защиту pointer authentication code, одну из ключевых технологий безопасности в современных чипах Apple.

Google связала Coruna сразу с тремя разными операторами. Первый след исследователи обнаружили в феврале прошлого года в операции, которую вела «клиентская структура поставщика средств слежки». Там использовалась уязвимость CVE-2024-23222, хотя Apple закрыла дыру еще за 13 месяцев до атаки. В июле 2025 года другой участник кампании, которого Google описывает как «предположительно российскую шпионскую группу», применял CVE-2023-43000 через сайты, которые посещали украинские цели. В декабре полный набор эксплойтов удалось получить после атаки со стороны «финансово мотивированного злоумышленника из Китая».

Именно многоразовое использование одного комплекта разными группами стало самым тревожным выводом расследования. Google прямо пишет, что происхождение такой «пролиферации» пока неясно, но картина очень похожа на существование активного рынка подержанных zero-day-эксплойтов. Иначе говоря, дорогие и сложные инструменты для взлома, похоже, начали перепродавать, дорабатывать и снова пускать в дело уже после первых кампаний.

Во время анализа исследователи собрали сотни образцов и восстановили пять полных цепочек атак для iPhone с iOS 13.0, вышедшей в сентябре 2019 года, и вплоть до iOS 17.2.1, выпущенной в декабре 2023 года. В одном случае злоумышленники по ошибке развернули отладочную версию комплекта и оставили в открытом виде внутренние названия модулей. Благодаря такой ошибке Google и узнала имя Coruna.

Внутри набора были эксплойты для чтения и записи в памяти через WebContent, модули обхода PAC, побеги из песочницы браузера, привилегированное выполнение кода в ядре и инструменты обхода PPL. Среди названий фигурируют buffout, terrorbird, cassowary, IronLoader, Parallax, Sparrow и Rocket. Часть модулей не получила публичных CVE, что только подчеркивает уровень закрытости разработки.

CISA в своем предупреждении отдельно напомнила, что подобные уязвимости остаются одним из самых популярных векторов атак для киберпреступников и представляют серьезный риск для федеральной инфраструктуры. Рекомендация агентства звучит жестко: установить обновления по инструкциям производителя, применить доступные меры защиты в облачных сервисах, а если защититься нельзя, отказаться от использования уязвимого продукта.

Главный вывод для обычных пользователей и компаний звучит просто. Опасность часто несут не только свежие zero-day, но и старые исправленные дыры, если устройство долго не обновляли. История Coruna показывает, что даже «вторичный рынок» эксплойтов может годами оставаться рабочим инструментом для шпионажа, финансовых атак и скрытого наблюдения.