Американська кіберзброя проти союзників: як набір Coruna від L3Harris опинився у Росії та Китаї

Масштабна хакерська кампанія, спрямована проти користувачів iPhone в Україні та Китаї, розкрила серйозну прогалину в американській системі контролю над кіберзброєю. За даними Google та незалежних дослідників, зловмисники використовували інструментарій «Coruna» — продукт підрозділу Trenchant американського військового підрядника L3Harris.

Набір з 23 компонентів призначався виключно для розвідки США та їхніх союзників по альянсу «П'ять очей» — Австралії, Канади, Нової Зеландії та Великої Британії. Проте він вийшов із-під контролю: сліди Coruna виявлено в операціях російських державних хакерів і китайських кіберзлочинців, які використовували його для масових крадіжок грошей і криптовалюти.

Ключовою фігурою витоку виявився Пітер Вільямс — 39-річний австралієць і колишній генеральний директор Trenchant. З 2022 по 2025 рік він таємно продавав хакерські інструменти компанії Operation Zero — російському брокеру, що спеціалізується на вразливостях нульового дня. За вісім вкрадених інструментів Вільямс отримав 1,3 мільйона доларів. Вирок — сім років позбавлення волі.

Двоє колишніх співробітників Trenchant підтвердили TechCrunch, що Coruna — це внутрішня назва одного з компонентів підрозділу. «Дивлячись на технічні деталі — стільки всього знайомого», — сказав один із них. Американські прокурори стверджують: скориставшись повним доступом до мереж компанії, Вільямс фактично зрадив США та їхніх союзників і відкрив зловмисникам шлях до «мільйонів пристроїв по всьому світу».

Дослідники кібербезпеки з iVerify та Google встановили, що два конкретні експлойти Coruna — Photon і Gallium — раніше застосовувалися в Operation Triangulation, складній хакерській кампанії проти iPhone, яку Kaspersky розкрив у 2023 році. Набір орієнтований на пристрої з iOS від версії 13 до 17.2.1, випущені у 2019–2023 роках — хронологія збігається з відомими витоками Вільямса.

Як Coruna перейшов від підрядника США до російських, а потім до китайських хакерів — остаточно не встановлено. Міністерство фінансів США, яке внесло Operation Zero до санкційного списку, підтвердило, що брокер продав вкрадені інструменти щонайменше одному неавторизованому покупцю. Далі набір, очевидно, кілька разів змінював власників, поки не опинився в руках кіберзлочинців.

Джерело: TechCrunch