„TechCrunch“ sužinojo, kad didelio masto įsilaužimo kampanija, nukreipta į „iPhone“ naudotojus Ukrainoje ir Kinijoje, naudojo įrankius, kuriuos greičiausiai sukūrė JAV karinis rangovas L3Harrisas. Įrankiai, skirti Vakarų šnipams, atsidūrė įvairių įsilaužėlių grupių rankose, įskaitant Rusijos vyriausybės agentus ir Kinijos kibernetinius nusikaltėlius.
Praėjusią savaitę „Google“ atskleidė, kad 2025 m. ji išsiaiškino, jog sudėtingas „iPhone“ įsilaužimo įrankių rinkinys buvo panaudotas daugelyje pasaulinių atakų. Įrankių rinkinys, kurio pradinis kūrėjas pavadino „Coruna“, buvo sudarytas iš 23 skirtingų komponentų, kuriuos pirmą kartą „labai tikslinėse operacijose“ panaudojo neįvardytas vyriausybinis nenurodyto „stebėjimo pardavėjo“ klientas. Vėliau jį naudojo Rusijos vyriausybės šnipai prieš ribotą skaičių ukrainiečių ir galiausiai Kinijos kibernetiniai nusikaltėliai „plataus masto“ kampanijose, kurių tikslas buvo pavogti pinigus ir kriptovaliutą.
Mobiliojo kibernetinio saugumo bendrovės „iVerify“ tyrėjai, nepriklausomai išanalizavę „Coruna“, teigė manantys, kad jį iš pradžių galėjo sukurti kompanija, pardavusi ją JAV vyriausybei.
Du buvę vyriausybinio rangovo L3Harris darbuotojai „TechCrunch“ sakė, kad „Coruna“ bent iš dalies sukūrė bendrovės įsilaužimo ir stebėjimo technologijų padalinys „Trenchant“. Abu buvę darbuotojai turėjo žinių apie bendrovės „iPhone“ įsilaužimo įrankius. Abu norėjo likti anonimiški, nes neturėjo teisės kalbėti apie savo darbą įmonėje.
„Coruna tikrai buvo vidinis komponento pavadinimas“, – sakė vienas buvęs „L3Harris“ darbuotojas, susipažinęs su „iPhone“ įsilaužimo įrankiais dirbdamas „Trenchant“.
„Žvelgiant į technines detales“, – sakė šis asmuo, turėdamas omenyje kai kuriuos „Google“ paskelbtus įrodymus, – „tiek daug yra pažįstamų“.
Buvęs darbuotojas sakė, kad visa apimančiame „Trenchant“ įrankių rinkinyje yra keletas skirtingų komponentų, įskaitant „Coruna“ ir susijusius išnaudojimus. Kitas buvęs darbuotojas patvirtino, kad dalis informacijos, įtrauktos į paskelbtą įsilaužimo įrankių rinkinį, buvo iš „Trenchant“.
„L3Harris“ parduoda „Trenchant“ įsilaužimo ir stebėjimo įrankius tik JAV vyriausybei ir jos sąjungininkams vadinamajame „Penkių akių“ žvalgybos aljanse, kurį sudaro Australija, Kanada, Naujoji Zelandija ir Jungtinė Karalystė. Atsižvelgiant į ribotą „Trenchant“ klientų skaičių, gali būti, kad „Coruna“ iš pradžių įsigijo ir naudojo viena iš šių vyriausybių žvalgybos agentūrų, kol ji pateko į netyčias rankas, tačiau neaišku, kiek paskelbto „Coruna“ įsilaužimo įrankių rinkinio sukūrė „L3Harrisas“ „Trenchantas“.
„L3Harris“ atstovas spaudai neatsakė į prašymą pakomentuoti.
Neaišku, kaip „Coruna“ iš „Five Eyes“ vyriausybės rangovo rankų pateko į Rusijos vyriausybės įsilaužimo grupę, o vėliau – į Kinijos kibernetinių nusikaltimų gaują.
Tačiau kai kurios aplinkybės atrodo panašios į buvusio „Trenchant“ generalinio direktoriaus Peterio Williamso atvejį. Nuo 2022 m. iki atsistatydinimo 2025 m. viduryje Williamsas pardavė aštuonis įmonės įsilaužimo įrankius Rusijos įmonei „Operation Zero“, kuri siūlo milijonus dolerių mainais už nulinės dienos išnaudojimus, ty pažeidžiamumus, kurio paveiktas pardavėjas nežino.
39 metų Australijos pilietis Williamsas praėjusį mėnesį buvo nuteistas kalėti septynerius metus, nes prisipažino pavogęs ir pardavęs aštuonis „Trenchant“ įsilaužimo įrankius operacijai „Nulis“ už 1,3 mln.
JAV vyriausybė pareiškė, kad Williamsas, pasinaudojęs „visa prieiga“ prie „Trenchant“ tinklų, „išdavė“ JAV ir jų sąjungininkus. Prokurorai apkaltino jį nutekėjus įrankius, kurie galėjo leisti tiems, kurie juos naudojo, „potencialiai pasiekti milijonus kompiuterių ir įrenginių visame pasaulyje“, o tai rodo, kad įrankiai priklauso nuo pažeidžiamumų, turinčių įtakos plačiai naudojamai programinei įrangai, pvz., „iOS“.
Operacija „Zero“, kuriai praėjusį mėnesį sankcionavo JAV vyriausybė, tvirtina, kad ji dirba tik su Rusijos vyriausybe ir vietinėmis įmonėmis. JAV iždas teigė, kad Rusijos brokeris pardavė „Williams“ pavogtus įrankius bent vienam neteisėtam vartotojui.
Tai paaiškintų, kaip Rusijos šnipinėjimo grupė, kurią „Google“ identifikavo tik kaip UNC6353, įsigijo „Coruna“ ir dislokavo ją pažeistose Ukrainos svetainėse, kad galėtų nulaužti tam tikrus „iPhone“ naudotojus iš konkrečios geografinės vietos, kurie netyčia apsilankė kenkėjiškoje svetainėje.
Gali būti, kad kai „Operation Zero“ įsigijo „Coruna“ ir galbūt pardavus ją Rusijos vyriausybei, brokeris perpardavė įrankių rinkinį kam nors kitam, galbūt kitam brokeriui, kitai šaliai ar net tiesiogiai kibernetiniams nusikaltėliams. Iždas teigė, kad „Trickbot“ išpirkos reikalaujančių programų gaujos narys dirbo su „Operation Zero“, susiedamas brokerį su finansiškai motyvuotais įsilaužėliais.
Tuo metu „Coruna“ galėjo būti perduota į kitas rankas, kol nepasiekė Kinijos įsilaužėlių. Pasak JAV kaltintojų, Williamsas atpažino kodą, kurį jis parašė ir pardavė „Operation Zero“, kurį vėliau panaudojo Pietų Korėjos brokeris.
Trianguliacijos operacija
„Google“ tyrėjai antradienį rašė, kad du konkretūs „Coruna“ išnaudojimai ir pagrindiniai pažeidžiamumai, kurių pradiniai kūrėjai vadino „Photon“ ir „Gallium“, buvo panaudoti kaip nulinės dienos „Operation Triangulation“, sudėtingoje įsilaužimo kampanijoje, tariamai naudojama prieš Rusijos iPhone naudotojus. Operaciją „Trianguliacija“ pirmą kartą „Kaspersky“ atskleidė 2023 m.
Rocky Cole’as, „iVerify“ įkūrėjas, „TechCrunch“ sakė, kad „geriausias paaiškinimas, pagrįstas tuo, kas šiuo metu žinoma“, rodo, kad „Trenchant“ ir JAV vyriausybė yra pirmieji „Coruna“ kūrėjai ir klientai. Nors Cole’as pridūrė, kad jis to neteigia „galutinai“.
Toks vertinimas, pasak jo, grindžiamas trimis veiksniais. „Coruna“ naudojimo laiko juosta sutampa su „Williams“ nuotėkiais, trijų „Coruna“ rastų modulių – plazmos, fotono ir galio – struktūra labai panaši į trianguliaciją, o „Coruna“ pakartotinai panaudojo kai kuriuos tuos pačius išnaudojimus, naudotus toje operacijoje, sakė jis.
Pasak Cole’o, „gynybos bendruomenei artimi žmonės“ teigia, kad plazma buvo naudojama operacijoje „Trianguliacija“, „nors viešų to įrodymų nėra“. (Cole’as anksčiau dirbo JAV Nacionalinio saugumo agentūroje.)
Pasak „Google“ ir „iVerify“, „Coruna“ buvo sukurta nulaužti „iPhone“ modelius, kuriuose veikia „iOS 13“–17.2.1, išleisti nuo 2019 m. rugsėjo mėn. iki 2023 m. gruodžio mėn. Šios datos sutampa su kai kurių „Williams“ nutekėjimų laiko juosta ir operacijos „Trianguliacija“ atradimu.
Vienas iš buvusių „Trenchant“ darbuotojų pasakojo „TechCrunch“, kad kai 2023 m. pirmą kartą buvo atskleista „Trianguliacija“, kiti bendrovės darbuotojai manė, kad bent viena iš „Kaspersky“ užfiksuotų nulinių dienų „buvo iš mūsų ir gali būti „išplėšta“ iš viso projekto, kuriame buvo „Coruna“.
Kitas „Trenchant“ bruožas, kaip pastebėjo saugumo tyrinėtojas Kostinas Raiu, yra paukščių pavadinimai kai kuriems iš 23 įrankių, pvz., Cassowary, Terrorbird, Bluebird, Jacurutu ir Sparrow. 2021 m. „The Washington Post“ atskleidė, kad „Azimuth“, vienas iš dviejų startuolių, kuriuos vėliau įsigijo L3Harris ir susijungė su „Trenchant“, FTB pardavė įsilaužimo įrankį „Condor“ liūdnai pagarsėjusiame San Bernardino „iPhone“ įtrūkimo dėkle.
„Kaspersky“ paskelbus savo tyrimą apie operaciją „Trianguliacija“, Rusijos federalinė saugumo tarnyba (FSB) apkaltino NSA įsilaužus į „tūkstančius“ iPhone telefonų Rusijoje, ypač nusitaikius į diplomatus. „Kaspersky“ atstovas spaudai tuo metu sakė, kad bendrovė neturi informacijos apie FSB pretenzijas. Atstovas pažymėjo, kad Rusijos nacionalinio kompiuterinių incidentų koordinavimo centro (NCCCI) nustatyti „kompromiso rodikliai“, ty įsilaužimo įrodymai, yra tie patys, kuriuos nustatė „Kaspersky“.
Borisas Larinas, „Kaspersky“ saugumo tyrinėtojas, elektroniniame laiške „TechCrunch“ sakė, kad „nepaisant mūsų išsamių tyrimų, negalime priskirti operacijos „Trianguliacija“ jokiai žinomai (išplėstinės nuolatinės grėsmės) grupei ar išnaudojimų kūrimo įmonei.
Larinas paaiškino, kad „Google“ susiejo „Coruna“ su operacija „Trianguliacija“, nes jie abu naudoja tuos pačius du pažeidžiamumus – „Photon“ ir „Gallium“.
„Priskyrimas negali būti grindžiamas vien šių pažeidžiamumų išnaudojimo faktu. Visa informacija apie abu pažeidžiamumus jau seniai buvo viešai prieinama”, todėl bet kas galėjo jomis pasinaudoti, sakė jis ir pridūrė, kad šios dvi bendros spragos „yra tik ledkalnio viršūnė”.
„Kaspersky“ niekada viešai nekaltino JAV vyriausybės už operaciją „Trianguliacija“. Įdomu tai, kad logotipas, kurį kompanija sukūrė kampanijai – obuolio logotipas, sudarytas iš kelių trikampių – primena L3Harris logotipą. Tai gali būti ne atsitiktinumas. „Kaspersky“ anksčiau yra sakęs, kad viešai nepriskirs įsilaužimo kampanijos, tyliai pranešdamas, kad iš tikrųjų žinojo, kas už jos slypi, arba kas suteikė jai priemones.
2014 m. „Kaspersky“ paskelbė, kad sugavo sudėtingą ir sunkiai suprantamą vyriausybės įsilaužimo grupę, žinomą kaip „Careto“ (ispaniškai „Kaukė“). Bendrovė tik pasakė, kad įsilaužėliai kalbėjo ispaniškai. Tačiau kaukės iliustracijoje, kurią bendrovė naudojo savo ataskaitoje, buvo raudonos ir geltonos spalvos Ispanijos vėliava, jaučio ragai ir nosies žiedas bei kastiniai.
Kaip praėjusiais metais atskleidė „TechCrunch“, „Kaspersky“ tyrėjai privačiai padarė išvadą, kad „nebuvo jokių abejonių“, kaip sakė vienas iš jų, kad „Careto“ valdo Ispanijos vyriausybė.
Trečiadienį kibernetinio saugumo žurnalistas Patrickas Gray’us savo internetinės transliacijos „Rizikingas verslas“ epizode sakė manantis, kad Williamsas, remdamasis „smulkiais ir gabalėliais“, buvo įsitikinęs, kad operacijai „Nulis“ buvo įsilaužimo rinkinys, naudojamas trianguliacijos kampanijoje.
„Apple“, „Google“, „Kaspersky“ ir „Operation Zero“ neatsakė į prašymus komentuoti.
