美国军事承包商设计的iPhone黑客工具可能被俄罗斯间谍使用
美国军事承包商设计的iPhone黑客工具可能被俄罗斯间谍使用作者:James Bentley
来源:TechCrunch
引用:https://techcrunch.com/2026/03/09/an-iphone-hacking-toolkit-used-by-russian-spies-likely-came-from-u-s-military-contractor/
据TechCrunch报道,针对乌克兰和中国iPhone用户的广泛黑客活动使用了可能由美国军事承包商L3Harris设计的工具。这些工具原本是为西方间谍设计的,但最终落入了包括俄罗斯政府间谍和中国的网络犯罪分子在内的各种黑客组织手中。
上周,谷歌透露,在2025年期间,他们发现一系列全球攻击中使用了复杂的iPhone黑客工具集。这个工具集被称为“Coruna”,由其原始开发者命名,由23个不同的组件组成,最初由一个未命名的政府客户在“高度针对性的行动”中使用。然后,俄罗斯政府间谍针对少数乌克兰人使用它,最后,中国的网络犯罪分子在“大规模”活动中使用它,目的是窃取金钱和加密货币。
移动网络安全公司iVerify的研究人员独立分析了Coruna,并表示他们相信它可能最初是由一家将其出售给美国政府公司的公司构建的。
两名前L3Harris员工向TechCrunch透露,Coruna至少部分是由该公司黑客和监控技术部门Trenchant开发的。这两位前员工都了解公司iPhone黑客工具的情况。他们都在匿名的情况下发言,因为他们没有获得在公司谈论其工作的授权。
“Coruna无疑是内部名称的一个组件,”一位熟悉iPhone黑客工具的前L3Harris员工说。
“从技术细节来看,”这个人说,指的是谷歌发布的一些证据,“很多都很熟悉。”
L3Harris独家将Trenchant的黑客和监控工具销售给美国政府和所谓的“五眼”情报联盟的盟友,包括澳大利亚、加拿大、新西兰和英国。鉴于Trenchant的客户数量有限,Coruna最初可能被这些政府情报机构之一收购和使用,然后意外落入他人手中,尽管不清楚发布Coruna黑客工具集中有多少是由L3Harris Trenchant开发的。
L3Harris的一位发言人没有回应置评请求。
一个全球性的iPhone黑客工具集
Coruna是如何从“五眼”政府承包商的手中转到俄罗斯政府黑客组织,然后又转到中国网络犯罪团伙手中的,尚不清楚。
但一些情况与Trenchant前总经理Peter Williams的案例类似。从2022年到2025年中辞职,Williams向俄罗斯公司Operation Zero出售了八款公司黑客工具,该公司提供数百万美元的回报,以换取零日漏洞,即受影响供应商不知道的漏洞。
39岁的澳大利亚公民Williams上月被判入狱七年,因为他承认以130万美元的价格窃取并出售了八款Trenchant黑客工具给Operation Zero。
美国政府在一份声明中表示,Williams利用对Trenchant网络的“完全访问权限”,“背叛”了美国及其盟友。检察官指控他泄露了可能会允许使用这些工具的人“可能访问全球数百万台计算机和设备”的工具,暗示这些工具依赖于影响广泛使用的软件,如iOS的漏洞。
被美国政府在去年底制裁的Operation Zero声称仅与俄罗斯政府和当地公司合作。美国财政部声称,俄罗斯经纪人将Williams的“被盗工具”出售给了至少一个未经授权的用户。
这可以解释谷歌所标识的俄罗斯间谍组织UNC6353是如何获得Coruna并在受感染的乌克兰网站上部署它的,以便从特定地理位置访问恶意网站的黑客iPhone用户。
据美国检察官称,一旦Operation Zero获得Coruna并将其可能出售给俄罗斯政府,经纪人随后可能将其工具包转售给其他人,可能是另一个经纪人、另一个国家,甚至直接转售给网络犯罪分子。财政部指控Trickbot勒索软件团伙的一名成员与Operation Zero合作,将经纪人与以经济动机的黑客联系起来。
在此之后,Coruna可能落入其他人之手,直到它到达中国黑客手中。据美国检察官称,Williams承认他后来用于Operation Zero的代码被一个韩国经纪人使用。
Operation Triangulation
谷歌研究人员周二写道,两个特定的Coruna漏洞和底层漏洞,分别由其原始开发者称为Photon和Gallium,在Operation Triangulation中被用作零日漏洞,这是一项据称针对俄罗斯iPhone用户的复杂黑客活动。Operation Triangulation最初由卡巴斯基在2023年揭露。
iVerify的联合创始人Rocky Cole告诉TechCrunch,“根据目前所知的最佳解释”表明Trenchant和美国政府是Coruna的原始开发者和客户。尽管如此,Cole补充说,他并没有“明确地”声称这一点。
他说,这种评估基于三个因素。Coruna的使用时间线与Williams的泄露相符;Coruna中发现的三个模块——Plasma、Photon和Gallium——的结构与Triangulation有很强的相似性;Coruna重用了在该行动中使用的某些漏洞。
据Cole说,“接近国防社区的人”声称Plasma被用于Operation Triangulation,“尽管没有公开的证据。”(Cole之前曾在美国国家安全局工作。)
据谷歌和iVerify称,Coruna被设计用于黑客iOS 13至17.2.1版本的iPhone,这些版本于2019年9月至2023年12月发布。这些日期与Williams的一些泄露和Operation Triangulation的发现的时间线相符。
一名前Trenchant员工告诉TechCrunch,当Triangulation在2023年首次揭露时,该公司其他员工认为Kaspersky捕获的至少一个零日漏洞“可能是我们,可能是从包括Coruna在内的总体项目中‘剥离’出来的”。
Costin Raiu这位安全研究人员指出,指向Trenchant的另一条线索是一些工具使用鸟名,例如Cassowary、Terrorbird、Bluebird、Jacurutu和Sparrow。2021年,《华盛顿邮报》揭露,Azimuth是后来被L3Harris收购并合并到Trenchant的两家初创公司之一,它曾向FBI出售了一款名为Condor的黑客工具,用于臭名昭著的圣贝纳迪诺iPhone破解案。
在Kaspersky发布其关于Operation Triangulation的研究后,俄罗斯联邦安全局(FSB)指责美国国家安全局(NSA)在俄罗斯黑客了“数千”部iPhone,特别是针对外交官。Kaspersky的一位发言人当时表示,公司没有关于FSB声明的信息。发言人指出,“攻击指标”是指黑客的证据,由俄罗斯国家计算机事件协调中心(NCCCI)识别,与Kaspersky所识别的相同。
Kaspersky从未公开指责美国政府是Operation Triangulation背后的主谋。有趣的是,该公司为该活动创建的标志——由几个三角形组成的苹果标志——与L3Harris的标志相似,Trenchant的标志也是由两个三角形组成的。这可能不是巧合。Kaspersky曾表示,它不会公开归因于黑客活动,同时暗中发出信号,实际上它知道谁是主谋,或者谁提供了工具。
2014年,Kaspersky宣布它发现了一个复杂且难以追踪的政府黑客组织“Careto”(西班牙语意为“面具”)。该公司仅表示黑客说西班牙语。但该公司在其报告中使用的面具插图包含了西班牙国旗的红黄色,牛角和鼻环,以及手鼓。
正如TechCrunch去年所揭露的,Kaspersky研究人员私下得出结论,“毫无疑问”,其中一位研究人员表示,“没有证据表明”与已知的[高级持续性威胁]集团或漏洞开发公司有关联。
页:
[1]