Sajber ratovanje

Ruski špijuni koriste L3Harris alate za eksploataciju iPhonea u Ukrajini.

TL;DR – Kratak sažetak

  • Rizik: Američki paket eksploita za iPhone, pod nazivom „Coruna”, dospeo je u ruke ruskih obaveštajnih službi i kineskih sajber-kriminalnih grupa, čime su milioni iOS uređaja izloženi riziku od „zero-click” napada.
  • Uticaj: Ovaj alat se najpre pojavio u geopolitički motivisanim napadima na korisnike u Ukrajini, a potom i u masovnoj kampanji krađe kriptovaluta od vlasnika iPhone-a u Kini, što je ozbiljno poljuljalo poverenje u mobilnu bezbednost.
  • Izgledi: Ukoliko kontrola izvoza ostane nedovoljno stroga, može doći do daljeg širenja sofisticiranih alata za nadzor, što će primorati vlade i proizvođače da dodatno ojačaju iOS i unaprede sisteme za odgovor na incidente.

Američki vojni izvođač L3Harris povezan sa iPhone alatom za hakovanje koji koriste ruski špijuni u Ukrajini

Google-ov izveštaj o bezbednosti za 2025. godinu razotkrio je radni okvir (framework) za hakovanje iPhone uređaja pod nazivom Coruna. On sadrži 23 modula za eksploataciju koji mogu neprimetno da kompromituju iOS verzije od 13 do 17.2.1. Ovaj alat je prvobitno bio namenjen prodaji zapadnim obaveštajnim klijentima, ali nova istraga ukazuje na to da većina koda potiče iz Trenchant-a, odeljenja za nadzor američkog vojnog izvođača L3Harris.

Dva bivša inženjera Trenchant-a, koji su želeli da ostanu anonimni, izjavili su da je „Coruna” definitivno bio interni naziv jedne komponente i ukazali su na tehničke karakteristike koje se poklapaju sa eksploitima koje je razvio L3Harris. Takođe su napomenuli da je Trenchant-ov arsenal — nazvan po pticama poput „Cassowary” i „Sparrow” — do sada prodavan isključivo saveznicima iz grupe „Five Eyes”: SAD, Velikoj Britaniji, Kanadi, Australiji i Novom Zelandu.

Od vladinih laboratorija do ruskih „watering-hole” napada

Google je prvu upotrebu Coruna alata na terenu povezao sa ruskom špijunskom grupom UNC6353. Oni su ovaj alat postavili na geografski ograničene „watering-hole” sajtove usmerene ka ukrajinskim korisnicima iPhone-a. Poseta kompromitovanoj stranici aktivirala bi „zero-click” eksploite — pod kodnim imenima „Photon” i „Gallium” — koji bi instalirali prikriveni „backdoor” na uređaj bez ikakve interakcije korisnika.

Veruje se da su ruski akteri došli do ovog alata putem curenja informacija od strane insajdera u periodu između 2022. i 2025. godine, za šta je odgovoran bivši generalni menadžer L3Harris-a, Peter Williams. Williams, inače australijski državljanin, prodao je osam Trenchant eksploita ruskom posredniku „Operation Zero” za 1,3 miliona dolara. Tužioci navode da je posrednik te podatke prosledio ruskim obaveštajcima, a kasnije i kineskim sajber-kriminalnim grupama.

Williams je prošlog meseca osuđen na sedam godina zatvora, što naglašava ozbiljnost ovog bezbednosnog propusta. Američko Ministarstvo finansija uvelo je sankcije grupi Operation Zero, označivši je kao kanal za državnu špijunažu i kriminal motivisan profitom.

Kineski kriminalci i kampanja „Operation Triangulation”

Nakon što se pojavila u ruskim rukama, Coruna se ponovo manifestovala u masovnoj kineskoj kampanji nazvanoj Operation Triangulation. Kaspersky je prvi izvestio o ovome 2023. godine, primetivši da je operacija ciljala korisnike iPhone-a u Kini radi krađe kriptovaluta i drugih podataka. Njihova analiza povezala je iste „Photon” i „Gallium” zero-day propuste sa napadima u okviru Triangulation kampanje, što sugeriše da su delovi alata cirkulisali među različitim napadačima.

Bezbednosni istraživač Rocky Cole iz kompanije iVerify, koja je nezavisno analizirala Coruna alat, tvrdi da je najverovatniji scenario taj da su originalni klijenti Trenchant-a „izgubili kontrolu” nad alatom preko Williamsa, nakon čega se on putem Operation Zero proširio do ruskih i kineskih ruku. Cole ovo potkrepljuje kroz tri ključne tačke:

  1. Vreme uvođenja Coruna alata poklapa se sa periodom kada je Williams odavao informacije.
  2. Tri komponente alata — Plasma, Photon i Gallium — odgovaraju strukturi viđenoj u operaciji Triangulation.
  3. Obe kampanje su koristile iste fundamentalne propuste u iOS sistemu.

Zvanični odgovori i šira slika

Kompanija L3Harris odbila je da pruži komentar. Google, Apple i operateri grupe Operation Zero takođe se nisu oglasili.

Ovo curenje informacija pokreće nezgodna pitanja o tome koliko strogo američki vojni izvođači štite svoje „zero-day” kapacitete. Pravila o kontroli izvoza — poput ITAR propisa Stejt departmenta — imaju za cilj da spreče ovakvo širenje, ali ovaj slučaj pokazuje da se unutrašnje zaštitne mere mogu zaobići.

Za Apple, ovaj incident naglašava neophodnost brzog izdavanja zakrpa i dodatnog ojačavanja iMessage servisa i drugih kanala podložnih „zero-click” napadima. Google-ovo javno razotkrivanje Coruna alata predstavlja redak primer gde veliki tehnološki gigant upozorava ekosistem na pretnju koja potiče iz državnih struktura.

Pogled u budućnost

Stručnjaci za bezbednost upozoravaju da bi se moglo pojaviti još ciklusa curenja i preprodaje ako se ne reši problem insajderskih pretnji unutar kompanija koje razvijaju alate za nadzor. Očekuje se da će teme poput strože provere osoblja, nadzora privilegovanog pristupa i uvođenja oštrijih kazni za neovlašćeno otkrivanje podataka dominirati u budućim političkim diskusijama u SAD.

U međuvremenu, istraživači mobilne bezbednosti nastavljaju da tragaju za ostacima Coruna alata na mreži, u nadi da će suzbiti dalju kompromitaciju iOS uređaja širom sveta.

🔮 Predviđanja futuriste

Predviđanja za 2029. godinu:

  • Mogli bismo biti svedoci transformacije globalnih pravila o izvozu sajber-oružja u multilateralni sporazum, što bi moglo ograničiti prodaju i prenos zero-day alata poput Corune i primorati odbrambene kompanije na transparentnije modele licenciranja.
  • Apple bi mogao da sprovede temeljnu reformu iOS operativnog sistema, uvodeći poseban bezbednosni nivo namenjen državnim institucijama, potpuno odvojen od komercijalne linije. To bi moglo dovesti do podele ekosistema u kojem bi iPhone uređaji „bezbednosne klase“ postali neophodni za visokorizične sektore i geopolitički osetljive regione.
  • Odbrambene kompanije bi mogle da postave suzbijanje unutrašnjih pretnji u sam vrh svojih prioriteta, podstičući široku primenu praćenja integriteta koda u realnom vremenu i uspostavljanje centralnog registra korišćenja eksploita. To bi moglo preoblikovati način na koji obaveštajne agencije razvijaju i primenjuju ofanzivne sajber-alate.