Googleovi stručnjaci objavili su alarmantno izvješće o alatu „Coruna” – dosad najsloženijem paketu iPhone-eksploata koji se slobodno širi internetom.
Prvo otkriven početkom 2023. kao sredstvo neimenovanog „klijenta nadzorne tvrtke”, Coruna danas sadrži pet kompletnih lanaca napada i 23 različite ranjivosti, dovoljnih da se iPhone kompromitira samim posjetom zaraženoj stranici.
Ključne faze širenja • Proljeće 2023.: skriven u dodatku za brojanje posjetitelja ukrajinskih stranica, alat su navodno koristili ruski obavještajci za praćenje Ukrajinaca. • Kasnije iste godine: ista se infrastruktura pojavljuje na kineskojezičnim kripto i kockarskim portalima gdje potajice instalira krajnju verziju malvera za krađu kriptovaluta.
Google upozorava da je ovakav "second-hand" promet nultodnevnim propustima rijedak i iznimno opasan jer omogućuje svakom novom napadaču da oružje dodatno prilagodi. iVerify, tvrtka koja je neovisno analizirala uzorak s kineskih stranica, procjenjuje da je u posljednjoj fazi zarazu pretrpjelo oko 42 000 uređaja.
Mogući američki DNK U kodu su pronađeni moduli identični onima iz operacije „Triangulation” otkrivene u napadu na Kaspersky 2023., za koju je Moskva krivila NSA. Su-osnivač iVerifyja Rocky Cole tvrdi: „Riječ je o iznimno sofisticiranom alatu u koji su uloženi milijuni dolara i nosi prepoznatljive tragove američkih razvojnika.” Ako se sumnje potvrde, Coruna bi postala mobilni ekvivalent Windows-eksploata EternalBlue koji je 2017. pobjegao iz američke agencije i potaknuo napade WannaCry i NotPetya.
Tko je još ranjiv? • Potvrđeno djeluje na iOS-u 13 do 17.2.1. • Isključivo preko WebKit-a (dakle Safari); nema potvrde da cilja Chrome. • Ne napada uređaje u Appleovu Lockdown Modeu. • Apple je sve relevantne propuste zakrpao u iOS-u 26.
Dok podrijetlo alata ostaje nejasno, jedno je sigurno: Coruna je već obilježila novo poglavlje u utrci kibernetičkog naoružanja, gdje vrhunski državni alati u trenu postaju dostupni svakome tko ih uspije preprodati na sivom tržištu.