Ερευνητές ασφαλείας αποκάλυψαν ότι προηγμένα κρατικά εργαλεία χακαρίσματος iPhone έχουν περάσει στα χέρια κυβερνοεγκληματιών. Η υπόθεση φωτίζει τη διαμόρφωση μιας δευτερογενούς αγοράς «μεταχειρισμένων» exploits με παγκόσμιες επιπτώσεις.
Μια ιδιαίτερα ανησυχητική εξέλιξη στον χώρο της κυβερνοασφάλειας φέρνει στο φως η Google και η εταιρεία mobile security iVerify: ένα πλήρες πακέτο προηγμένων εργαλείων χακαρίσματος iPhone, που αρχικά φαίνεται να είχε αναπτυχθεί για κρατική χρήση, διακινείται πλέον στην «μαύρη αγορά» και αξιοποιείται από κυβερνοεγκληματίες με κίνητρο το κέρδος.
Το exploit kit Coruna και η διαρροή από κρατικό πελάτη
Σύμφωνα με την ομάδα Threat Intelligence της Google, το exploit kit, με την κωδική ονομασία Coruna, εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2025 σε απόπειρα κατασκοπευτικού λογισμικού να μολύνει iPhone για λογαριασμό κυβερνητικού πελάτη. Λίγους μήνες αργότερα, τα ίδια εργαλεία εμφανίστηκαν σε ευρείας κλίμακας εκστρατεία εναντίον Ουκρανών χρηστών από ρωσική κατασκοπευτική ομάδα, ενώ στη συνέχεια αξιοποιήθηκαν και από οικονομικά υποκινούμενο hacker στην Κίνα.
Η iVerify, που απέκτησε και έκανε reverse engineering στο Coruna, συνδέει το πλαίσιο εργαλείων με τις ΗΠΑ, λόγω τεχνικών ομοιοτήτων με παλαιότερα εργαλεία που έχουν κατά καιρούς αποδοθεί στην αμερικανική κυβέρνηση. Όπως επισημαίνει: «Όσο ευρύτερη η χρήση, τόσο πιο βέβαιη η διαρροή». Η εταιρεία προειδοποιεί ότι, ανεξαρτήτως προέλευσης, τέτοια εργαλεία είναι σχεδόν νομοτελειακό ότι θα διαφύγουν στον «άγριο» κυβερνοχώρο και θα αξιοποιηθούν από κακόβουλους παράγοντες.
Επιθέσεις χωρίς κλικ και ευπάθειες σε πολλές εκδόσεις iOS
Η Google χαρακτηρίζει το Coruna εξαιρετικά ισχυρό: μπορεί να παρακάμπτει τις άμυνες ενός iPhone απλώς με την επίσκεψη σε κακόβουλη ιστοσελίδα – τυπικό «watering hole» σενάριο, όπου το θύμα αρκεί να πατήσει έναν σύνδεσμο. Το kit συνδυάζει 23 ξεχωριστές ευπάθειες, επιτρέποντας πέντε διαφορετικές διαδρομές επίθεσης.
Οι ευάλωτες συσκευές καλύπτουν ευρύ φάσμα, από iPhone με iOS 13 έως και εκδόσεις μέχρι την 17.2.1, που κυκλοφόρησε τον Δεκέμβριο του 2023. Αυτό σημαίνει ότι εκατομμύρια συσκευές διεθνώς –και αναπόφευκτα και στην Ελλάδα– ενδέχεται να είναι εκτεθειμένες, εφόσον δεν έχουν εγκαταστήσει τις πιο πρόσφατες ενημερώσεις ασφαλείας της Apple.
Δευτερογενής αγορά exploits και γεωπολιτικές προεκτάσεις
Η υπόθεση Coruna αναδεικνύει την ανάδυση μιας αγοράς «μεταχειρισμένων» exploits: εργαλεία που αρχικά αναπτύσσονται ή αγοράζονται από κρατικούς φορείς και στη συνέχεια διαρρέουν ή πωλούνται σε τρίτους, συμπεριλαμβανομένων κυβερνοεγκληματικών ομάδων. Η Google θυμίζει το προηγούμενο του EternalBlue της NSA, που αφού διέρρευσε το 2017, αξιοποιήθηκε στη μαζική επίθεση ransomware WannaCry.
Στο ίδιο πλαίσιο εντάσσεται και η πρόσφατη υπόθεση του Peter Williams, πρώην επικεφαλής της αμερικανικής αμυντικής εταιρείας L3Harris Trenchant, ο οποίος καταδικάστηκε σε πάνω από επτά χρόνια φυλάκισης για πώληση zero-day exploits σε μεσάζοντα συνδεδεμένο με τη ρωσική κυβέρνηση. Οι εισαγγελικές αρχές ανέφεραν ότι τα εργαλεία αυτά μπορούσαν να παραβιάσουν «εκατομμύρια υπολογιστές και συσκευές» σε όλο τον κόσμο.
Για τις κυβερνήσεις, η υπόθεση Coruna αναζωπυρώνει το δίλημμα μεταξύ επιθετικής κυβερνοικανότητας και συλλογικής ασφάλειας του οικοσυστήματος λογισμικού. Για επιχειρήσεις και πολίτες, στέλνει ένα σαφές μήνυμα: οι ενημερώσεις λογισμικού και η υιοθέτηση πρακτικών ψηφιακής υγιεινής δεν είναι απλή σύσταση, αλλά αναγκαία άμυνα απέναντι σε εργαλεία που κάποτε θεωρούνταν αποκλειστικό προνόμιο κρατικών υπηρεσιών.
Σχόλιο 
: Η διαρροή του Coruna δείχνει ότι η «στρατιωτικοποίηση» των zero-days γυρίζει μπούμερανγκ: τα εργαλεία δεν μένουν ποτέ για πάντα στα χέρια κρατικών φορέων, αλλά τροφοδοτούν μια παγκόσμια σκιά-αγορά exploits, αυξάνοντας δραματικά τον συστημικό κίνδυνο για οικονομία, κράτος και πολίτες.
#κυβερνοασφάλεια #iPhone #exploits #Google #Coruna #ασφάλεια
