حذر باحثو الأمن السيبراني في شركة جوجل مستخدمي هواتف آيفون من أهمية تحديث أجهزتهم إلى أحدث إصدار من نظام التشغيل iOS بشكل عاجل وذلك بعد اكتشاف فريق GTIG لحزمة استغلال خطيرة تستهدف الإصدارات القديمة من iOS وهذا التحذير يأتي في ظل تصاعد التوترات الجيوسياسية، بما في ذلك النزاع المستمر في الشرق الأوسط، مما يزيد من المخاوف بشأن استخدام أدوات إلكترونية في عمليات مراقبة أو تجسس موجهة.
ما اكتشفه باحثو جوجل؟
كشف تقرير فريق GTIG أن حزمة الاستغلال المسماة Coruna تستهدف أجهزة آيفون التي تعمل بالإصدارات من iOS 13 وحتى iOS 17.2.1، وتحتوي على خمس سلاسل استغلال كاملة و23 ثغرة منفصلة تسمح للمهاجمين بالتحكم في الأجهزة وسرقة البيانات الحساسة حيث تعتمد الحزمة على مزيج من ثغرات متصفح الويب ومستوى النظام للوصول إلى الجهاز وغالبا ما يبدأ الهجوم عند زيارة المستخدم لموقع ويب خبيث أو مخترق، حيث يقوم برنامج خفي بتحديد نوع الجهاز وإصدار iOS، ثم يختار الثغرة المناسبة للهجوم عليه.
ذكرت جوجل أن إحدى الثغرات المستخدمة (CVE-2024-23222) كانت ثغرة صفرية (Zero-Day) قبل أن تصلحها شركة آبل في iOS 17.3 كما أضاف الباحثون أن حزمة Coruna تم تداولها بين عدة فاعلين مختلفين على مر الزمن، بدءا من عملاء شركات المراقبة التجارية في فبراير 2025 وصولا لهجمات على مستخدمين أوكرانيين مرتبطة بمجموعة تجسس روسية مشتبه بها تُعرف باسم UNC6353 ثم لاحقا حملات نفذها فاعل مالي من الصين تحت اسم UNC6691 باستخدام مواقع مالية وهمية لجذب مستخدمي آيفون.
كيف استغل المخترقون الثغرة لسرقة البيانات المالية
وفقا لتقرير GTIG، عند نجاح سلسلة الاستغلال، كان يتم نشر برنامج خبيث يسمى PlasmaLoader يسمح للمهاجمين بجمع المعلومات الحساسة، بما في ذلك البيانات المالية ومحافظ العملات الرقمية المخزنة على الجهاز كما تمكن البرنامج الخبيث من البحث داخل الملاحظات والصور والملفات النصية عن كلمات مفتاحية مثل “الحساب البنكي” ثم نقل البيانات إلى خوادم يسيطر عليها المهاجم وتضمن أيضا البرنامج الضار وحدات خاصة لاستخراج البيانات التي تستهدفت عدة تطبيقات لمحافظ العملات الرقمية.
التوصيات الأمنية
أكدت جوجل أن حزمة Coruna لا تعمل على أحدث إصدار من iOS، مما يجعل تحديث النظام من أبسط الطرق لحماية المستخدمين حيث قالت: “حزمة استغلال Coruna غير فعالة ضد أحدث إصدار من iOS، وينصح مستخدمو آيفون بشدة بتحديث أجهزتهم فورا” للمستخدمين الذين لا يمكنهم التحديث فورا، توصي جوجل بتمكين وضع القفل، وهي ميزة أمان تقلل من التعرض للهجمات الموجهة وأوضحت الشركة أن الاكتشاف يسلط الضوء على كيفية تداول أدوات التجسس السيبراني المتقدمة بين فاعلين مختلفين، بما في ذلك شركات المراقبة، مجموعات التجسس، والمهاجمين الماليين، مشيرة إلى أن مشاركة الأبحاث تهدف إلى رفع الوعي وتشجيع ممارسات أمان أقوى في الصناعة