كشفت تقارير أمنية حديثة عن مجموعة أدوات اختراق iPhone متطورة للغاية، يُعتقد أنها صُممت أصلاً من قبل مقاول أمريكي للحكومة الأمريكية، لكنها وصلت الآن إلى أيدي جهات أجنبية وقراصنة إلكترونيين، ما جعلها تُستخدم في حملات تجسسية واستهداف مستخدمين بهدف سرقة العملات الرقمية.
شفرة أمريكية Coruna
تُظهر هذه الأدوات، التي أطلقت عليها شركة جوجل اسم “Coruna”، قدرة غير مسبوقة على تجاوز كافة إجراءات حماية أجهزة iPhone وتثبيت برامج خبيثة بشكل صامت عند زيارة أي موقع يحتوي على كود الاستغلال.
وتستغل مجموعة Coruna نحو 23 ثغرة مختلفة في نظام iOS، ما يشير إلى أنها من تطوير جهة ذات موارد كبيرة، ربما تكون حكومية.
وبحسب تقرير جوجل، فقد ظهرت بعض مكونات هذه الأدوات في فبراير من العام الماضي في حملة تجسسية نسبت إلى “عميل لشركة مراقبة”، ثم ظهرت نسخة أكثر اكتمالًا فيما اعتُبر حملة تجسس روسية على مواقع أوكرانية، وأخيرًا تم رصد استخدام نفس الأدوات في حملة لسرقة العملات الرقمية عبر مواقع صينية، مما يعكس انتشارًا واسعًا وغير خاضع للرقابة.
رجحت شركة iVerify، التي حللت نسخة الـ “شفرة أمريكية Coruna” المنتشرة على مواقع صينية، أن الأدوات قد تكون صُممت أصلًا للولايات المتحدة، مع ملاحظة أنها تضم مكونات سبق استخدامها في عملية اختراق أُطلقت عليها “Triangulation”، واستهدفت شركة Kaspersky الروسية عام 2023، والتي نسبتها روسيا لوكالة الأمن القومي الأمريكية.
وأكد مؤسس iVerify، روكي كول، أن الأدوات عالية الاحترافية وتشير إلى استثمار ملايين الدولارات في تطويرها، مع ميزات تقنية توازي أدوات حكومية أمريكية، مضيفًا أن هذا هو أول مثال معروف على تسرب أدوات حكومية أمريكية إلى جهات معادية ومجموعات إجرامية.
وتحذر جوجل من أن انتشار هذه الأدوات يعكس سوقًا نشطًا لثغرات الصفر يومية المستعملة مسبقًا، ما يتيح لأي مجموعة اختراق إعادة استخدامها أو تعديلها لاستهداف أجهزة iPhone.
42 ألف جهاز مخترق
يرجح iVerify، أن Coruna أصابت نحو 42 ألف جهاز في الحملة الموجهة ضد المواقع الصينية وحدها، مع احتمال أن يكون عدد الضحايا الإجمالي أعلى بكثير إذا أُخذت الحملات التجسسية السابقة بعين الاعتبار.
تشير التحليلات إلى أن النسخ الحالية من Coruna أُضيفت إليها برمجيات خبيثة أقل جودة من النسخة الأصلية، بهدف سرقة العملات الرقمية والصور والبريد الإلكتروني، بينما بقيت الأدوات الأساسية قوية ومتقنة البرمجة.
وقد تم تطوير الكود من قبل مبرمجين يتحدثون الإنجليزية، مما يدعم فرضية أصلها الأمريكي، وأنها صممت كوحدة متكاملة وليست مزيجًا من شفرات متعددة.
ويُشير خبراء إلى أن التسرب يعكس مخاطر تسرب أدوات حكومية حساسة إلى جهات غير خاضعة للرقابة، كما حصل سابقًا مع أداة EternalBlue، التي تسربت من وكالة الأمن القومي الأمريكية وأدت إلى هجمات واسعة مثل WannaCry وNotPetya.
ومن المرجح أن سوق وسطاء ثغرات الصفرية قد ساعد في انتشار Coruna، إذ يتم بيع الأدوات لأعلى مزايد دون ضمانات حصرية، ما يجعل الأجهزة المحمولة عرضة للهجمات من أطراف متعددة حول العالم.