Набір експлойтів Coruna, який росіяни застосовували для атак на iPhone в Україні, ймовірно створений оборонним підрядником США

Набір експлойтів Coruna, який в 2025 році використовувався російськими хакерами для злому iPhone українських громадян, імовірно, створювався для потреб Міністерства оборони США. Про це свідчать нові дані від аналітиків Google Threat Analysis Group (TAG) та фірми з безпеки мобільних пристроїв iVerify, на які посилається TechCrunch.

Генезис Coruna: Від Пентагону до «чорного ринку»

Експерти компанії з мобільної кібербезпеки iVerify стверджують, що набір експлойтів під кодовою назвою Coruna «майже напевно» бере свій початок у лабораторіях компанії Trenchant, яка є дочірнім підрозділом великого американського оборонного підрядника L3Harris.

Витік коду став можливим через дії колишнього співробітника Trenchant, який викрав конфіденційні розробки та продав їх через мережу посередників. Так інструментарій опинився у розпорядженні Operation Zero — російського брокера вразливостей нульового дня, який відкрито пропонує мільйони доларів за методи зламу iOS та Android, працюючи в інтересах спецслужб Росії. 

Хоча точний шлях Coruna до росіян невідомий, обставини схожі на випадок Пітера Вільямса, колишнього генерального менеджера Trenchant. З 2022 року до своєї відставки в середині 2025 року він продав Operation Zero вісім хакерських інструментів. За це отримав від росіян $1,3 мільйона. Хронологія використання Coruna збігається з витоками інформації від Вільямса.

Минулого місяця Вільямса, 39-річного громадянина Австралії, засудили до 7 років позбавлення волі після того, як він зізнався у крадіжці та продажу хакерських інструментів Trenchant компанії Operation Zero. 

За даними Google та iVerify, Coruna розроблена для злому моделей iPhone з iOS від 13 до 17.2.1, випущених між вереснем 2019 року та груднем 2023 року. Набір експлойтів складається з 23 різних компонентів.

Використання проти України: Слід Sandworm

Найбільш тривожним аспектом є те, що російська група Sandworm (APT44), пов’язана з ГРУ, інтегрувала Coruna у свої операції. Під час повномасштабної війни проти України ці експлойти використовувалися для цілеспрямованих атак на iPhone українських військових, державних службовців та волонтерів.

Механізм атаки базувався на методі «watering hole» (засідка біля водопою). Хакери зламували українські сайти (зокрема регіональні медіа та урядові ресурси) і вбудовували в них шкідливий скрипт. Коли користувач заходив на такий сайт через Safari на iPhone, система автоматично перевіряла версію пристрою та непомітно завантажувала складний ланцюжок експлойтів для отримання повного доступу до повідомлень, мікрофона, геолокації та файлів.

Китайський вектор: Масовий злам та фінансові крадіжки

Паралельно з російськими шпигунами, Coruna потрапила до рук китайських кіберзлочинних угруповань. На відміну від росіян, китайські хакери зосередилися на фінансовій вигоді. За даними iVerify, ця кампанія стала однією з наймасштабніших в історії iOS:

• Масштаб: Було скомпрометовано понад 42 000 пристроїв.
• Ціль: Викрадення криптовалютних активів та доступ до банківських застосунків.
• Технологія: Використовувався той самий код, що й у операціях ГРУ, що підтверджує спільне джерело походження інструментарію.

Корпорація Apple вже закрила більшість багів, які використовувалися в Coruna, проте успіх атаки настільки великої кількості пристроїв свідчить про те, що користувачі рідко оновлюють ПЗ вчасно, тому хакери мають можливість експлуатувати застарілі системи роками.

Як захиститися від Coruna?

Експерти наполегливо рекомендують:

• Оновити iOS до останньої доступної версії.
• У разі підвищеного ризику шпигунства використовувати «Режим локдауну» (Lockdown Mode), який блокує складні вебтехнології, що часто використовуються в таких атаках.

Також варто регулярно перевіряти свій пристрій. Для цього використовуйте спеціалізовані утиліти для сканування системи на наявність ознак втручання (наприклад, Mobile Verification Toolkit).

Нагадаємо, вчора стало відомо, що найпопулярніший проект GitHub виявився шахрайством.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn