От iOS 13 до iOS 17. Какие модели iPhone под угрозой из-за утечки секретных инструментов слежки

Инструменты для взлома iPhone, которые создали для западных спецслужб, неожиданно начали кочевать по миру и в итоге оказались у иностранных шпионов и киберпреступников. Кампания затронула пользователей в Украине, Китае и ряде других стран.

Корпорация Google недавно сообщила, что в течение 2025 года обнаружила сложный набор средств взлома iPhone. Разработчик назвал комплект Coruna. Набор включает 23 модуля и изначально предназначался для точечных операций некой государственной структуры, работавшей через поставщика технологий слежки. Позднее иностранные государственные хакеры применяли Coruna против отдельных пользователей в Украине, а затем китайские преступные группы запустили более широкие атаки для кражи денег и криптовалюты.

Компания iVerify отдельно изучила инструменты и пришла к выводу, что разработка могла начаться в компании, которая продавала такие технологии правительству США.

Бывшие сотрудники американского оборонного подрядчика L3Harris Technologies рассказали журналистам, что часть инструментов Coruna создало подразделение Trenchant, которое занимается технологиями взлома и слежки. По словам одного из бывших сотрудников, Coruna служила внутренним названием одного из компонентов. Общий набор Trenchant включал несколько модулей и уязвимостей, среди которых находились Coruna и связанные с ней инструменты. Другой бывший сотрудник подтвердил, что часть опубликованных технических деталей совпадает с разработками Trenchant.

L3Harris продаёт подобные системы только правительству США и союзникам по разведывательному альянсу «Five Eyes», куда входят Австралия, Канада, Новая Зеландия и Великобритания. Поэтому Coruna сначала могла попасть к одной из спецслужб этих стран, а уже затем выйти из-под контроля и оказаться у других игроков. Представители L3Harris на запрос журналистов не ответили.

Как именно набор инструментов прошёл путь от западного подрядчика до китайских хакеров, остаётся неясным. В этой истории всплывает другой эпизод. В 2022–2025 годах бывший руководитель Trenchant Питер Уильямс продавал восемь инструментов компании брокеру Operation Zero. Компания Operation Zero платит крупные суммы за так называемые уязвимости нулевого дня — ошибки в программах, о которых ещё не знает разработчик.

В прошлом месяце суд приговорил Уильямса, гражданина Австралии, к семи годам тюрьмы. Следствие доказало, что Уильямс похитил и продал восемь инструментов Trenchant за 1,3 млн долларов. Американские власти заявили, что утечка могла дать злоумышленникам доступ к миллионам компьютеров и устройств по всему миру.

Как известно, компания Operation Zero работает с государственными структурами. Министерство финансов США утверждает, что брокер перепродал похищенные инструменты как минимум одному неавторизованному пользователю. Такой путь объясняет, как группа UNC6353 получила Coruna. Хакеры внедряли вредоносный код на взломанные украинские сайты. Когда пользователь iPhone из нужного региона заходил на страницу, устройство автоматически атаковали.

В дальнейшем Coruna могла перейти и к другим посредникам, а затем попасть к китайским киберпреступникам. Американские прокуроры утверждают, что Уильямс позже узнал собственный код в инструментах, которые распространял южнокорейский брокер.

История Coruna пересекается с другой известной кампанией — Операция «Триангуляция». Кампанию раскрыла Лаборатория Касперского в 2023 году. В атаках использовали две уязвимости нулевого дня под названиями Photon и Gallium. По данным Google, те же уязвимости присутствуют и в наборе Coruna.

Специалисты считают, что Coruna создавали для взлома iPhone с iOS версий от 13 до 17.2.1, которые выходили с сентября 2019 года по декабрь 2023 года. Период совпадает со временем утечек инструментов Trenchant и обнаружением Операции «Триангуляция».

Внутри самой компании после публикации исследования Лаборатории Касперского сотрудники предполагали, что хотя бы одна из уязвимостей нулевого дня из «Триангуляции» могла происходить из их разработки. Среди косвенных признаков специалисты называют и названия модулей. Некоторые инструменты получили имена птиц: Cassowary, Terrorbird, Bluebird, Jacurutu и Sparrow. Ранее стартап Azimuth, который позже вошёл в состав L3Harris, продал ФБР инструмент Condor для взлома iPhone в деле о теракте в Сан-Бернардино.

Борис Ларин из Лаборатории Касперского отметил, что прямых доказательств причастности конкретной группировки или компании к «Триангуляции» нет. Совпадение уязвимостей Photon и Gallium само по себе не позволяет точно определить источник инструментов, поскольку технические детали этих ошибок давно стали публичными.

Тем не менее специалисты продолжают связывать Coruna, утечку инструментов Trenchant и кампанию «Триангуляция». Журналист Патрик Грей заявил, что наиболее правдоподобная версия выглядит так: Питер Уильямс передал Operation Zero набор инструментов, который позже применили в операции «Триангуляция».