Набір софта для злому iPhone, що використовували російські шпигуни, походить від підрядника Пентагону

Як стало відомо TechCrunch, масова хакерська кампанія, спрямована проти користувачів iPhone в Україні та Китаї, використовувала інструменти, ймовірно, розроблені американським військовим підрядником L3Harris. Інструменти, призначені для західних шпигунів, потрапили до рук різних хакерських груп, включаючи шпигунів російського уряду та китайських кіберзлочинців.

Google повідомив, що протягом 2025 року було виявлено використання складного набору інструментів для злому iPhone у серії глобальних атак. Набір інструментів, який його початковий розробник назвав «Coruna», складався з 23 різних компонентів, які спочатку використовувалися «у цілеспрямованих операціях» неназваним урядовим клієнтом невказаного «постачальника засобів спостереження». Потім його використовували російські урядові шпигуни проти обмеженої кількості українців і, нарешті, китайські кіберзлочинці «у широкомасштабних» кампаніях з метою крадіжки грошей та криптовалюти. 

Дослідники компанії з мобільної кібербезпеки iVerify, яка незалежно проаналізувала Coruna , заявили, що, на їхню думку, він міг бути спочатку створений компанією, яка продала його уряду США.

Двоє колишніх співробітників державного підрядника L3Harris розповіли TechCrunch, що Coruna була, принаймні частково, розроблена підрозділом компанії з розробки технологій хакерства та спостереження Trenchant. Обидва колишні співробітники були обізнані з інструментами компанії для злому iPhone. Обидва говорили на умовах анонімності, оскільки вони не мали права розповідати про свою роботу в компанії.

«Coruna точно була внутрішньою назвою компонента», — сказав один колишній співробітник L3Harris, який був знайомий з інструментами злому iPhone завдяки своїй роботі в Trenchant. 

«Якщо подивитися на технічні деталі, — сказала ця людина, посилаючись на деякі докази, опубліковані Google, — так багато з них знайомі». 

Колишній співробітник сказав, що загальний інструментарій Trenchant містив кілька різних компонентів, включаючи Coruna та пов'язані з ними експлойти. Інший колишній співробітник підтвердив, що деякі деталі, включені до опублікованого інструментарію для злому, були отримані від Trenchant. 

L3Harris продає хакерські та стежучі інструменти Trenchant виключно уряду США та його союзникам у так званому розвідувальному альянсі «П’ять очей», до якого входять Австралія, Канада, Нова Зеландія та Велика Британія. Враховуючи обмежену кількість клієнтів Trenchant, можливо, що Coruna спочатку була придбана та використана розвідувальними службами одного з цих урядів, перш ніж потрапила до рук недобросовісних осіб, хоча неясно, яка частина опублікованого хакерського інструментарію Coruna була розроблена L3Harris Trenchant.

Речник L3Harris не відповів на запит про коментар.

Набір інструментів для злому iPhone, що подорожує світом

Як Coruna потрапила з рук урядового підрядника Five Eyes до російської урядової хакерської групи, а потім до китайського угруповання кіберзлочинців, незрозуміло. 

Але деякі обставини схожі на випадок Пітера Вільямса , колишнього генерального менеджера Trenchant. З 2022 року до своєї відставки в середині 2025 року Вільямс продав вісім хакерських інструментів компанії Operation Zero , російській компанії, яка пропонує мільйони доларів в обмін на експлойти нульового дня , тобто вразливості, про які невідомо постраждалому постачальнику. 

Вільямса, 39-річного громадянина Австралії, минулого місяця засудили до семи років позбавлення волі після того, як він зізнався у крадіжці та продажу восьми хакерських інструментів Trenchant компанії Operation Zero за 1,3 мільйона доларів.  

Уряд США заявив, що Вільямс, який скористався «повним доступом» до мереж Тренчанта, «зрадив» Сполучені Штати та їхніх союзників. Прокурори звинуватили його у витоку інструментів , які могли б дозволити будь-кому, хто їх використовував, «потенційно отримати доступ до мільйонів комп’ютерів та пристроїв по всьому світу», натякаючи на те, що інструменти спиралися на вразливості, що впливали на широко використовуване програмне забезпечення, таке як iOS.  

«Операція «Нуль», санкціонована урядом США минулого місяця, стверджує, що працює виключно з російським урядом та місцевими компаніями. Міністерство фінансів США заявило, що російський брокер продав «крадені інструменти Вільямса щонайменше одному неавторизованому користувачеві».

Це пояснює, як російська шпигунська група, яку Google ідентифікував лише як UNC6353, придбала Coruna та розгорнула її на скомпрометованих українських вебсайтах, щоб зламувати певних користувачів iPhone з певної геолокації, які мимоволі відвідували шкідливий сайт.

Можливо, що після того, як Operation Zero придбала Coruna та потенційно продала її російському уряду, брокер перепродав інструментарій комусь іншому, можливо, іншому брокеру, іншій країні або навіть безпосередньо кіберзлочинцям. Міністерство фінансів стверджує, що член угруповання вимагачів Trickbot співпрацював з Operation Zero, пов'язуючи брокера з фінансово мотивованими хакерами.

На той момент Coruna, можливо, перейшла до інших рук, поки не потрапила до рук китайських хакерів. За словами американських прокурорів, Вільямс розпізнав код, який він написав і продав Operation Zero, а пізніше його використовував південнокорейський брокер.

Операція «Тріангуляція»

Дослідники Google у вівторок написали, що два конкретні експлойти Coruna та основні вразливості, які їхні оригінальні розробники назвали Photon та Gallium, були використані як нульові дні в операції «Тріангуляція» – складній хакерській кампанії, яка нібито використовувалася проти російських користувачів iPhone. Операцію «Тріангуляція» вперше розкрив Касперський у 2023 році. 

Рокі Коул, співзасновник iVerify, розповів TechCrunch, що «найкраще пояснення, засноване на тому, що відомо зараз», вказує на те, що Trenchant та уряд США були першими розробниками та клієнтами Coruna. Хоча, додав Коул, він не стверджує цього «остаточно».

Ця оцінка, за його словами, ґрунтується на трьох факторах. Хронологія використання Coruna збігається з витоками інформації Вільямса, структура трьох модулів — Plasma, Photon і Gallium — знайдених у Coruna, має сильну схожість з Triangulation, а Coruna повторно використала деякі з тих самих експлойтів, що й у цій операції, сказав він.

За словами Коула, «люди, близькі до оборонної спільноти», стверджують, що плазма використовувалася в операції «Тріангуляція», «хоча публічних доказів цього немає». (Коул раніше працював в Агентстві національної безпеки США.)

За даними Google та iVerify, Coruna була розроблена для злому моделей iPhone з iOS від 13 до 17.2.1, випущених між вереснем 2019 року та груднем 2023 року. Ці дати збігаються з часовою шкалою деяких витоків інформації Вільямса та розкриттям операції «Тріангуляція». 

Один з колишніх співробітників Trenchant розповів TechCrunch, що коли Triangulation вперше було представлено у 2023 році, інші співробітники компанії вважали, що принаймні один із випадків нульового дня, виявлених Касперським, «був від нас і потенційно «вирваний» з» загального проєкту, який включав Coruna.

Ще однією навігаційною крихтою, яка вказує на Trenchant, як зазначив дослідник безпеки Костін Райу , є використання назв птахів для деяких із 23 інструментів, таких як Cassowary, Terrorbird, Bluebird, Jacurutu та Sparrow. У 2021 році The Washington Post повідомила , що Azimuth, один із двох стартапів, які пізніше придбала L3Harris та об'єднала з Trenchant , продав ФБР інструмент для злому під назвою Condor у сумнозвісній справі про злом iPhone у Сан-Бернардіно . 

Після того, як «Касперський» опублікував своє дослідження операції «Тріангуляція», Федеральна служба безпеки Росії (ФСБ) звинуватила АНБ у зламі «тисяч» iPhone у Росії, зокрема, дипломатів. Речник «Касперського» тоді заявив, що компанія не має інформації щодо заяв ФСБ. Речник зазначив, що «індикатори компрометації» – тобто докази злому – виявлені російським Національним координаційним центром з комп’ютерних інцидентів (НКЦКІ), були тими ж, що й «Касперський».

Борис Ларін, дослідник безпеки в Kaspersky, повідомив TechCrunch в електронному листі, що «незважаючи на наше ретельне дослідження, ми не можемо пов’язати операцію «Тріангуляція» з жодною відомою групою [ Advanced Persistent Threat ] чи компанією-розробником експлойтів». 

Ларін пояснив, що Google пов'язав Coruna з операцією «Тріангуляція», оскільки обидві вони використовують одні й ті ж дві вразливості — Photon і Gallium. 

«Атрибуція не може ґрунтуватися виключно на факті використання цих вразливостей. Усі подробиці обох вразливостей давно є загальнодоступними», і таким чином будь-хто міг ними скористатися, сказав він, додавши, що ці дві спільні вразливості «є лише верхівкою айсберга».  

«Касперський» ніколи публічно не звинувачував уряд США у причетності до операції «Тріангуляція». Цікаво, що логотип, створений компанією для кампанії — логотип яблука, що складається з кількох трикутників — нагадує логотип L3Harris . Це може бути не випадковістю. «Касперський» раніше заявляв, що не буде публічно приписувати собі хакерську кампанію, водночас тихо даючи зрозуміти, що насправді знає, хто за нею стоїть або хто надав інструменти для неї.

У 2014 році Kaspersky оголосив про спіймання складної та невловимої урядової хакерської групи під назвою «Careto» (іспанською «Маска»). Компанія лише заявила, що хакери розмовляли іспанською. Але ілюстрація маски, яку компанія використала у своєму звіті, включала червоний та жовтий кольори іспанського прапора, бичачі роги та кільце в носі, а також кастаньєти.

Як повідомляв TechCrunch минулого року , дослідники Kaspersky приватно дійшли висновку, що, як висловився один із них, «немає жодних сумнівів» у тому, що Careto керується урядом Іспанії. 

У середу журналіст з кібербезпеки Патрік Грей заявив в епізоді свого подкасту Risky Business , що, на його думку, на основі «фрагментів інформації», у якій він був впевнений, Вільямс вилив інформацію Operation Zero саме в комплект для злому, який використовувався в кампанії Triangulation.