Coruna, de la instrument de spionaj la armă pentru furturi de criptomonede

Un software numit Coruna, atribuit serviciilor de informaţii ruse, a evoluat dintr-un instrument folosit în operaţiuni de spionaj într-o unealtă destinată furtului de criptomonede şi altor activităţi infracţionale.

Conform unui raport publicat de experţii în securitate cibernetică de la Google, Coruna reprezintă un set extrem de avansat de instrumente de hacking. Indiciile identificate în codul aplicaţiei sugerează legături cu structuri din zona agenţiilor ruse de informaţii.

Platforma include cinci lanţuri complete de exploatare, capabile să ocolească toate mecanismele de protecţie ale telefoanelor iPhone şi să instaleze în mod discret alte aplicaţii malware pe dispozitivele vizate. Atacul era declanşat prin simpla accesare a unui site web care integra codul maliţios. În total, Coruna exploatează 23 de vulnerabilităţi distincte din iOS — o combinaţie rar întâlnită, care indică implicarea unui grup cu resurse considerabile, posibil susţinut de un stat.

Specialiştii Google au corelat unele module Coruna cu tehnici observate încă din februarie anul trecut, concluzionând că software-ul ar fi fost creat iniţial pentru un client al unei companii de supraveghere. Cinci luni mai târziu, o versiune extinsă a fost utilizată într-o campanie de spionaj coordonată din Rusia, unde codul de atac a fost ascuns într-un plugin comun pentru monitorizarea traficului web şi distribuit prin infectarea unor site-uri din Ucraina. Ulterior, Coruna a reapărut în campanii ample care nu mai vizau spionajul, ci obţinerea de profit, semn că ar fi fost sustras şi comercializat către clienţi din afara Rusiei. Noile atacuri au vizat site-uri de criptomonede şi jocuri de noroc în limba chineză, distribuind programe malware specializate în furtul activelor digitale.

Raportul Google nu oferă detalii despre identitatea primului „client” al companiei de supraveghere care a implementat Coruna. Totuşi, firma de securitate mobilă iVerify, care a analizat o versiune a programului preluată de pe un site chinez compromis, sugerează că acesta ar fi putut fi dezvoltat pentru sau achiziţionat de guvernul Statelor Unite. Atât Google, cât şi iVerify au remarcat că anumite componente ale Coruna au fost folosite anterior într-o operaţiune de hacking cunoscută drept „Triangulaţie”, descoperită în 2023 după ce a vizat compania rusă de securitate cibernetică Kaspersky. Autorităţile ruse au susţinut atunci că atacul ar fi fost orchestrat de National Security Agency.

Potrivit cofondatorului iVerify, Rocky Cole, codul Coruna pare să fi fost scris iniţial de programatori vorbitori de limba engleză. El a descris software-ul drept extrem de sofisticat, estimând că dezvoltarea sa ar fi costat milioane de dolari şi că prezintă caracteristici similare cu alte module atribuite public guvernului SUA.

Deşi vulnerabilităţile exploatate au fost remediate în cea mai recentă versiune iOS, tehnicile introduse de Coruna continuă să fie analizate şi ar putea fi adaptate pentru atacuri viitoare. Contactaţi pentru un punct de vedere, reprezentanţii guvernului american au refuzat să ofere comentarii.