美国制造的可能被外国间谍和网络犯罪分子获得的iPhone黑客工具曝光
美国制造的可能被外国间谍和网络犯罪分子获得的iPhone黑客工具曝光作者:James Bentley
来源:Nextgov
引用:https://www.nextgov.com/cybersecurity/2026/03/potential-us-built-hacking-tools-obtained-foreign-spies-and-cybercriminals-research-says/411861/
谷歌和移动安全公司iVerify的最新分析显示,一款名为Coruna的强大iPhone黑客工具可能起源于美国制造,现已出现在外国间谍行动者和以财务利益为动机的犯罪集团手中。该工具包包含多个漏洞,可秘密地破坏运行旧版iOS的苹果设备。研究人员表示,该代码库看起来像是一个专业开发的平台,这引发了担忧,即原本为秘密政府使用而开发的工具可能已经脱离了控制渠道。
iVerify和谷歌威胁情报小组确定了五个利用iOS 13至17.2.1(2019年9月至2023年12月间发布的iPhone操作系统旧版本)中超过20个漏洞的漏洞链。代码库包含大量的内联文档和用英语撰写的解释性注释。
iVerify创始人Rocky Cole在周二的网络研讨会上详细介绍了这一发现时表示:“我们发现了一个很可能由一个国家开发的工具……很可能由或为美国政府开发,它已经在全球零日经纪人中经历了奇怪的旅程。”
他表示:“我认为这是一个不错的猜测,尽管不是绝对的,但至少框架和漏洞可能起源于美国。”iVerify尚未联系NSA或美国网络司令部——它们是政府相关网络漏洞的常见用户——Cole表示,“他们无论如何也不会说什么。”
这些黑客工具可以通过恶意网络内容传递,该内容可以指纹目标设备并部署定制代码以实现远程代码执行,绕过关键的iOS安全缓解措施。黑客工具的痕迹表明,它最初被俄罗斯情报机构针对乌克兰目标使用,后来被一个网络犯罪组织采用,从说中文的受害者那里窃取加密货币。尽管苹果已经修补了底层漏洞,但旧版iOS版本仍可能受到影响。
据谷歌称,Coruna的片段最早于去年2月出现在与一家未命名的“监控公司客户”有关的行动中。几个月后,研究人员观察到更成熟的版本被部署在他们评估为俄罗斯间谍活动的场景中,漏洞代码被嵌入在乌克兰网站上的常规网络分析工具中。
谷歌和iVerify指出,Coruna的部分内容也被用于2023年的“三角测量”活动,俄罗斯官员声称该活动是由NSA进行的。
iVerify将此次活动描述为“已知的首个此类大规模iOS攻击活动”,并表示漏洞工具似乎已经从可能是一个国家一致监视能力转变为广泛部署的犯罪工具。该公司在中国语言诈骗基础设施中恢复的样本中观察到,植入程序旨在收集财务凭证和加密货币钱包数据。
如果这些漏洞确实与美国有关,这一案例将与以往实例相呼应,在这些实例中,高端进攻性网络工具——包括由西方国家政府开发的工具——后来落入了未经授权的手中。NSA开发的Windows漏洞EternalBlue在2017年被窃取并曝光,最终导致了朝鲜的WannaCry攻击和与俄罗斯有关的NotPetya黑客攻击。
美国情报和国防机构维护秘密的进攻性网络能力,用于收集外国情报、监控对手和破坏敌对网络。这些工具通常利用以前未知的软件漏洞(称为零日)以获取对目标系统的秘密访问。官员们认为,这些能力对于现代国家防御至关重要,但如果没有暴露或政府控制之外重用底层漏洞,其开发存在固有的风险。
Nextgov/FCW已要求NSA和苹果发表评论。
可以肯定的是,美国的漏洞最近已经在野外传播。L3Harris拥有的Trenchant的前员工Peter Williams在10月承认,他至少向一个被认为被称为Operation Zero的俄罗斯经纪人出售了该公司至少八个漏洞。财政部上个月对该组织实施了制裁。
页:
[1]