Google上周披露,在 2025 年间发明一套复杂的 iPhone 进击对象包被用于多轮全球进击。这套对象包被原始开辟者定名为 “Coruna”,由 23 个不合组件构成,起先被某个未签字的当局客户在“高度定点行动”中应用,随后被俄罗斯当局支撑的间谍用于进击少量乌克兰目标,最终又被中国的收集犯法分子在大年夜范围行动中应用,以窃取资金和加密泉币。 移动安然公司 iVerify 自力分析后断定,该对象很可能最初由一家向美国当局出售产品的公司开辟。
两名曾在 L3Harris 黑客与监控技巧部分 Trenchant 供职的前员工向媒体证实,Coruna 至少部分组件由 Trenchant 开辟,他们都直接接触过公司研发的 iPhone 进击对象。两人请求匿名,称“Coruna 确切是内部某组件的代号”,并表示Google公开的技巧细节“异常眼熟”。 个中一名前员工称,Trenchant 的整体对象包中包含多个组件和应用法度榜样,Coruna 就是个中之一。
公开信息显示,L3Harris 经由过程 Trenchant 向美国当局及其“五眼联盟”盟友出售黑客和监控对象,客户范围仅限美国、英国、加拿大年夜、澳大年夜利亚和新西兰的谍报机构。 在客户高度受限的前提下,Coruna 被认为极有可能是起首被个中一国谍报部分采购并应用,之后才以某种方法流出,进入其他行动体之手。今朝尚不清楚已曝光的 Coruna 对象集中毕竟有若干代码直接源自 L3Harris Trenchant。
Coruna 的跨国扩散轨迹,与 Trenchant 前总经理彼得·威廉姆斯(Peter Williams)泄漏收集兵器一案高度类似。公开案情显示,2022 年至 2025 年中期,威廉姆斯向俄罗斯公司 Operation Zero 出售了八个 Trenchant 进击对象,获利约 130 万美元。美国当局指控他应用对 Trenchant 内网的“完全拜访权限”,窃取这些可进击“全球数以百万计电脑和设备”的对象,被认定为“反叛”美国及其盟友。 威廉姆斯本年 2 月被判处 7 年羁系,而 Operation Zero 也已遭美国财务部制裁。
据美国检方披露,威廉姆斯曾认出本身编写并卖给 Operation Zero 的代码,后来涌如今一家韩国中心商手中。这也为 Coruna 若何最终流向中国黑客供给了可能路径:在多轮转卖和代码再应用中,对象从当局谍报圈层慢慢扩散至更广泛的黑产生态。
Cole 的断定基于三点:其一,Coruna 的应用时光线与威廉姆斯泄密案高度重叠;其二,Coruna 中三大年夜模块 “Plasma”“Photon”“Gallium” 的构造与“三角行动”中不雅测到的模块十分类似;其三,Coruna 重用了一些在该行动中已经应用过的进击代码。 他还泄漏,来自“接近防务圈人士”的消息称,“Plasma” 模块也曾被用于“三角行动”,但今朝并无公开证据支撑这一点。Cole 本人曾供职于美国国度安然局(NSA)。
Google和 iVerify 的技巧分析显示,Coruna 被设计用来进击运行 iOS 13 至 iOS 17.2.1 的 iPhone,覆盖了从 2019 年 9 月到 2023 年 12 月间宣布的一系列体系版本。这一时光跨度,同样与威廉姆斯泄漏对象的时光线和“三角行动”的发明时光相吻合。 一名前 Trenchant 员工回想,当 2023 年卡巴斯基初次公开“三角行动”时,公司内部不少人认为,至少有一个被捕获的零日马脚“出自我们”,并可能是从包含 Coruna 的整体项目中被“剥离”出来投入应用。
美国财务部披露,Operation Zero 声称只与俄罗斯当局和本国企业合作,但官方认定其将威廉姆斯窃取的对象至少出售给“一名未经授权的用户”。 Google的查询拜访显示,俄罗斯间谍组织 UNC6353 恰是经由过程不明渠道获得 Coruna,并将其植入被攻下的乌克兰网站,定向进击来自特定地舆地位、应用 iPhone 拜访这些网站的用户。 有分析认为,Operation Zero 在转卖给俄罗斯官方后,可能持续将对象转售给其它经纪人、国度甚至直接出售给收集犯法团伙。美国在告状文件中还提到,勒索软件团伙 Trickbot 成员曾与 Operation Zero 合作,将这一经纪人与谋取经济好处的黑客收集接洽起来。
安然研究员 Costin Raiu 也在社交平台上指出,Coruna 对象中多项组件以鸟类定名,如 Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrow 等,这与 Trenchant 的技巧传承存在隐性接洽关系。早在 2021 年,《华盛顿邮报》就报道,后来被 L3Harris 收购并并入 Trenchant 的安然公司 Azimuth 曾向美国联邦查询拜访局(FBI)出售一款名为 Condor 的 iPhone 破解对象,用于有名的圣贝纳迪诺枪击案 iPhone 解锁事宜。
Google研究人员指出,Coruna 中名为 “Photon” 和 “Gallium” 的两个具体马脚应用组件,被作为零日马脚兵器,应用于一场名为“Operation Triangulation(“三角行动”)”的周详进击行动中,该行动被认为针对的是俄罗斯境内 iPhone 用户。早在 2023 年,卡巴斯基实验室就初次披露了“三角行动”。 iVerify 结合开创人 Rocky Cole 称,综合今朝公开信息,“最合理的解释”是 Coruna 的原始开辟者与客户分别是 Trenchant 和美国当局,但他强调这一断定尚非“绝对定论”。
在“三角行动”曝光后,俄罗斯联邦安然局(FSB)责备美国国度安然局应用该对象入侵俄罗斯境内“数千部 iPhone”,重点针对交际官等目标。卡巴斯基当时表示,本身并不控制 FSB 指控细节,但指出俄罗斯国度收集事宜调和中间(NCCCI)公开的“入侵指导器”与卡巴斯基此前识其余证据一致。 然而,卡巴斯基安然研究员 Boris Larin 表示,即便经由大年夜量研究,依然无法将“三角行动”归因于任何已知高等持续性威逼(APT)组织或漏敞开辟公司。
Larin 解释称,Google之所以将 Coruna 与“三角行动”接洽关系,是因为二者都应用了 Photon 和 Gallium 这两个雷同马脚。但仅凭共享马脚本身并不足以完成归因,因为这两枚马脚细节已经久公开,任何一方都可能据此开辟各自的进击链。他强调,这两处合营马脚“只是冰山一角”。 值得一提的是,尽管卡巴斯基从未公开指控美国当局是“三角行动”的幕后黑手,但该公司为此次行动设计的、由多个三角形构成的苹果 Logo,与 L3Harris 的品牌 Logo 在视觉上颇为类似,有不雅点认为这是卡巴斯基惯常应用的“视觉暗示”手段。
卡巴斯基以前的做法似乎印证了这一推想。2014 年,该公司披露了一个名为 “Careto”(意为“面具”)的高等当局黑客组织,只提到进击者应用西班牙语,但在申报中应用的面具插画参加了西班牙国旗的红黄配色、公牛角和鼻环、响板等元素,被认为是在暗示进击者与西班牙当局有关。 正如后来有报道援引卡巴斯基内部人士说法称,研究团队暗里认为“毫无疑问”,Careto 就是由西班牙当局主导的行动。
环绕 Coruna 的争议也激发媒体持续追踪。收集安然记者 Patrick Gray 在本周的播客节目《Risky Business》中表示,基于他控制且有把握的“零碎谍报”,威廉姆斯卖给 Operation Zero 的,恰是“三角行动”中所应用的那套进击框架。 今朝,苹果、Google、卡巴斯基以及 Operation Zero 均未就此作出公开回应。
发表评论 取消回复