Утечка iPhone-хакерских инструментов L3Harris привела к глобальным атакам

Масштабная хакерская кампания, нацеленная на пользователей iPhone в Украине и Китае, использовала инструменты, которые, вероятно, были разработаны американским военным подрядчиком L3Harris, как стало известно TechCrunch. Эти инструменты, предназначенные для западных спецслужб, оказались в руках различных хакерских групп, включая российских правительственных шпионов и китайских киберпреступников.

На прошлой неделе Google обнаружило, что в течение 2025 года на iPhones использовался сложный набор для взлома. Набор, получивший название "Coruna" от своего первоначального разработчика, состоял из 23 компонентов, впервые примененных "в высокоточных операциях" неустановленным правительственным заказчиком некоего "поставщика слежения". Затем его использовали российские правительственные шпионы против ограниченного числа украинцев и, наконец, китайские киберпреступники в "широкомасштабных" кампаниях с целью кражи денег и криптовалюты.

Исследователи мобильной кибербезопасности iVerify, независимо проанализировавшие Coruna, заявили, что считают возможным, что этот инструмент был изначально создан компанией, продавшей его правительству США.

Два бывших сотрудника подрядчика L3Harris рассказали TechCrunch, что Coruna, по крайней мере частично, был разработан отделом хакерских инструментов и технологий слежения Trenchant. Оба бывших сотрудника обладали знаниями о хакерских инструментах iPhone компании. Оба говорили на условиях анонимности, поскольку не были уполномочены обсуждать свою работу в компании.

"Coruna, безусловно, был внутренним названием компонента", - сказал один из бывших сотрудников L3Harris, знакомый с хакерскими инструментами iPhone в рамках своей работы в Trenchant.

"Судя по техническим деталям", - сказал этот человек, ссылаясь на некоторые из доказательств, опубликованных Google, - "многие из них знакомы".

Бывший сотрудник сообщил, что обширный набор инструментов Trenchant включал несколько различных компонентов, включая Coruna и связанные эксплойты. Другой бывший сотрудник подтвердил, что некоторые детали, включенные в опубликованный хакерский набор, происходят из Trenchant.

L3Harris продает хакерские инструменты и технологии слежения Trenchant исключительно правительству США и его союзникам в так называемом разведывательном альянсе "Пять глаз", в который входят Австралия, Канада, Новая Зеландия и Великобритания. Учитывая ограниченное количество клиентов Trenchant, возможно, что Coruna изначально был приобретен и использован одной из разведывательных служб этих правительств, прежде чем попал в непреднамеренные руки, хотя неясно, какая часть опубликованного хакерского набора Coruna была разработана L3Harris Trenchant.

Представитель L3Harris не ответил на запрос о комментарии.

Как Coruna попал из рук подрядчика правительства "Пять глаз" в руки российской правительственной хакерской группы, а затем китайской банде киберпреступников, остается неясным.

Однако некоторые обстоятельства похожи на случай с Питером Уильямсом, бывшим генеральным менеджером Trenchant. С 2022 года до своей отставки в середине 2025 года Уильямс продал восемь хакерских инструментов компании Operation Zero, российской компании, предлагающей миллионы долларов за нулевые эксплойты, то есть уязвимости, неизвестные поставщику.

Уильямс, 39-летний гражданин Австралии, был приговорен к семи годам тюрьмы в прошлом месяце после того, как признал себя виновным в краже и продаже восьми хакерских инструментов Trenchant Operation Zero за 1,3 миллиона долларов.

Правительство США заявило, что Уильямс, который воспользовался тем, что имел "полный доступ" к сетям Trenchant, "предал" Соединенные Штаты и их союзников. Прокуроры обвинили его в утечке инструментов, которые могли позволить тем, кто их использовал, "потенциально получить доступ к миллионам компьютеров и устройств по всему миру", предполагая, что инструменты основывались на уязвимостях, затрагивающих широко используемое программное обеспечение, такое как iOS.

Operation Zero, который был санкционирован правительством США в прошлом месяце, утверждает, что работает исключительно с российским правительством и местными компаниями. Казначейство США заявило, что российский брокер продал "украденные инструменты" Уильямса "по крайней мере одному несанкционированному пользователю".

Это объяснило бы, как российская шпионская группа, которую Google идентифицировала только как UNC6353, приобрела Coruna и развернула ее на скомпрометированных украинских веб-сайтах, чтобы взломать определенных пользователей iPhone из конкретной геолокации, которые невольно посетили вредоносный сайт.

Возможно, как только Operation Zero приобрела Coruna и, возможно, продала ее российскому правительству, брокер затем перепродал этот набор кому-то еще, возможно, другому брокеру, другой стране или даже напрямую киберпреступникам. Казначейство заявило, что член банды вымогателей Trickbot работал с Operation Zero, связывая брокера с хакерами, мотивированными финансовой выгодой.

На этом этапе Coruna могла перейти в другие руки, пока не достигла китайских хакеров. Согласно обвинениям американских прокуроров, Уильямс узнал код, который он написал и продал Operation Zero, позже использованный южнокорейским брокером.

Логотип, созданный Kaspersky для Operation Triangulation, рядом с логотипом L3Harris. Изображение: Kaspersky и L3Harris

Operation Triangulation

Исследователи Google написали во вторник, что два конкретных эксплойта Coruna и базовые уязвимости, названные Photon и Gallium их первоначальными разработчиками, были использованы как нулевые сутки в Operation Triangulation, сложной хакерской кампании, якобы использованной против российских пользователей iPhone. Operation Triangulation впервые была раскрыта Kaspersky в 2023 году.

Роки Коул, соучредитель iVerify, сказал TechCrunch, что "наилучшее объяснение на основе известных на данный момент фактов" указывает на Trenchant и правительство США как на первоначальных разработчиков и заказчиков Coruna. Хотя Коул добавил, что он не утверждает это "окончательно".

Такая оценка, по его словам, основана на трех факторах. Временная шкала использования Coruna совпадает с утечками Уильямса, структура трех модулей - Plasma, Photon и Gallium - найденных в Coruna сильно похожа на Triangulation, и Coruna повторно использовала некоторые из тех же эксплойтов, что и в этой операции, сказал он.

По словам Коула, "люди, близкие к оборонному сообществу", утверждают, что Plasma использовался в Operation Triangulation, "хотя нет публичных доказательств этого". (Ранее Коул работал в Агентстве национальной безопасности США.)

Согласно Google и iVerify, Coruna был разработан для взлома моделей iPhone под управлением iOS 13 через 17.2.1, выпущенных между сентябрем 2019 года и декабрем 2023 года. Эти даты совпадают с временной шкалой некоторых утечек Уильямса и обнаружением Operation Triangulation.

Один из бывших сотрудников Trenchant сказал TechCrunch, что когда Triangulation впервые была раскрыта в 2023 году, другие сотрудники компании считали, что по крайней мере один из нулевых суток, обнаруженных Kaspersky, "был от нас и потенциально 'вырван' из" обширного проекта, включавшего Coruna.

Еще один "хлебный крошка", указывающий на Trenchant - как отметил исследователь безопасности Костин Раиу - это использование названий птиц для некоторых из 23 инструментов, таких как Cassowary, Terrorbird, Bluebird, Jacurutu и Sparrow. В 2021 году The Washington Post раскрыл, что Azimuth, одна из двух стартапов, позже приобретенных L3Harris и объединенных в Trenchant, продала хакерский инструмент под названием Condor ФБР в печально известном деле iPhone из Сан-Бернардино.

После публикации Kaspersky своих исследований Operation Triangulation Федеральная служба безопасности России (ФСБ) обвинила АНБ в взломе "тысяч" iPhone в России, в частности, целясь в дипломатов. Представитель Kaspersky тогда сказал, что компания не располагает информацией о заявлениях ФСБ. Представитель отметил, что "индикаторы компрометации" - то есть доказательства взлома - идентифицированные Российским национальным координационным центром по компьютерным инцидентам (НКЦКИ) совпадают с теми, которые идентифицировала Kaspersky.

Борис Ларин, сотрудник службы безопасности Kaspersky, сказал TechCrunch по электронной почте, что "несмотря на наши обширные исследования, мы не можем приписать Operation Triangulation никакой известной группе [продвинутых стойких угроз] или компании по разработке эксплойтов".

Ларин объяснил, что Google связал Coruna с Operation Triangulation, потому что обе они эксплуатируют одни и те же две уязвимости - Photon и Gallium.

"Атрибуция не может основываться исключительно на факте эксплуатации этих уязвимостей. Все детали обеих уязвимостей давно доступны публично", и, таким образом, каждый мог воспользоваться ими, сказал он, добавив, что эти две общие уязвимости - "всего лишь верхушка айсберга".

Kaspersky никогда публично не обвиняла правительство США в причастности к Operation Triangulation. Любопытно, что логотип, созданный компанией для кампании - логотип Apple, составленный из нескольких треугольников - напоминает логотип L3Harris. Возможно, это не совпадение. Ранее Kaspersky заявляла, что не будет публично атрибутировать хакерскую кампанию, в то же время тихо сигнализируя, что на самом деле знала, кто стоял за этим или кто предоставил инструменты для этого.

В 2014 году Kaspersky объявила, что обнаружила сложную и ускользающую правительственную хакерскую группу, известную как "Careto" (испанское слово "Маска"). Компания лишь сказала, что хакеры говорят по-испански. Но иллюстрация маски, которую компания использовала в своем отчете, включала красные и желтые цвета испанского флага, рога быка и кольцо в носу, а также кастаньеты.

Как раскрыл TechCrunch в прошлом году, исследователи Kaspersky в частном порядке пришли к выводу, что "не было сомнений", как выразился один из них, что Careto управлялась испанским правительством.

В среду журналист по кибербезопасности Патрик Грей сказал в эпизоде своего подкаста Risky Business, что, по его мнению - основываясь на "кусочках", о которых он уверен - то, что Уильямс утечкой Operation Zero, был хакерский набор, использованный в кампании Triangulation.

Apple, Google, Kaspersky и Operation Zero не ответили на запросы о комментарии.