كشف باحثون في مجال الأمن السيبراني عن أدوات اختراق متطورة تستهدف هواتف آيفون التي تعمل بإصدارات قديمة من نظام التشغيل، حيث تشير التقارير إلى أن هذه الأدوات انتقلت من جهة حكومية إلى أيدي مجرمين إلكترونيين.
أعلنت شركة جوجل أنها رصدت لأول مرة حزمة الاستغلال المعروفة باسم Coruna في فبراير 2025، وكان ذلك خلال محاولة من مزود أدوات مراقبة لاختراق هاتف لصالح عميل حكومي باستخدام برمجيات تجسس.
تسرب أدوات تجسس حكومية إلى القراصنة
بعد عدة أشهر، ظهرت هذه الحزمة في حملة واسعة استهدفت مستخدمين أوكرانيين، وتمت نسبتها إلى مجموعة تجسس روسية، ثم وُجدت لاحقًا بحوزة مخترق صيني يسعى لتحقيق مكاسب مالية. لا تزال آلية تسريب هذه الأدوات غير واضحة، لكن باحثي جوجل حذروا من تزايد سوق “الثغرات المستعملة”، حيث تُباع أدوات الاختراق لجهات إجرامية تسعى لتحقيق أرباح من خلال استغلالها.
هذا الاكتشاف يعكس خطر تسرب أدوات الاختراق والأبواب الخلفية المصممة للاستخدام الحكومي، حيث تتحول لاحقًا إلى أدوات بيد مجرمين أو جهات غير حكومية. من جانبها، أكدت شركة أمن الهواتف المحمولة iVerify أنها حصلت على أدوات Coruna وقامت بتحليلها عكسياً، مشيرة إلى وجود مؤشرات تربطها بالحكومة الأمريكية، بناءً على تشابهها مع أدوات اختراق سابقة نُسبت إلى الولايات المتحدة.
قالت الشركة إن اتساع نطاق الاستخدام يزيد من احتمالية حدوث تسريب، مضيفة أنه رغم وجود أدلة تشير إلى أن الأداة هي إطار عمل حكومي أمريكي مسرب، فإن الأهم هو إدراك أن مثل هذه الأدوات غالبًا ما تجد طريقها إلى السوق السوداء وتستخدم بشكل غير مشروع.
وفقًا لجوجل، تتمتع أدوات Coruna بقدرات متقدمة تسمح بتجاوز أنظمة الحماية في هواتف آيفون بمجرد زيارة موقع خبيث يحتوي على شيفرة الاستغلال، وهو ما يعرف بهجوم “مصيدة المياه”. أوضحت الحزمة أنها قادرة على اختراق الهاتف عبر خمس آليات مختلفة، مستندة إلى 23 ثغرة أمنية مترابطة ضمن ترسانتها الرقمية، وتشمل الأجهزة المتأثرة طرازات تعمل بإصدارات iOS من 13 حتى 17.2.1، التي صدرت في ديسمبر 2023.
كانت مجلة Wired هي أول من كشف عن الخبر، مشيرة إلى أن Coruna تتضمن مكونات استخدمت سابقًا في حملة اختراق عرفت باسم Operation Triangulation. في عام 2023، ادعت شركة الأمن السيبراني الروسية كاسبيرسكي أن الحكومة الأمريكية حاولت اختراق عدة هواتف آيفون تابعة لموظفيها.
رغم أن تسريب أدوات الاختراق يعد نادرًا، فإنه ليس سابقة، ففي عام 2017، اكتشفت وكالة الأمن القومي الأمريكية أن أدوات طورتها لاختراق أجهزة ويندوز حول العالم قد سُرقت. وقد نُشر الباب الخلفي المعروف باسم EternalBlue لاحقًا، واستخدم في هجمات كبرى مثل هجوم الفدية WannaCry الذي نُسب إلى كوريا الشمالية.
في سياق متصل، كشف موقع TechCrunch مؤخرًا عن قضية بيتر ويليامز، الرئيس السابق لشركة L3Harris Trenchant الدفاعية الأمريكية، الذي حُكم عليه بالسجن لأكثر من سبع سنوات بعد اعترافه بسرقة وبيع ثماني أدوات استغلال لوسيط يُعتقد أنه يعمل مع الحكومة الروسية. بحسب الادعاء، كانت الأدوات المباعة قادرة على اختراق ملايين الأجهزة حول العالم، فيما بيع أحدها على الأقل لوسيط في كوريا الجنوبية، ولا يزال من غير الواضح ما إذا كانت هذه الثغرات قد أبلغت بها الشركات المطورة للبرمجيات أو جرى سدها أمنيًا.