针对乌克兰和中国部分iPhone用户的一系列网络攻击,正被指与一家美国军工承包商开发的工具有关。
据TechCrunch报道,多名知情人士及公开技术分析显示,在这轮攻击中被广泛使用的一套复杂iPhone黑客工具包“Coruna”,很可能出自美国防务承包商L3Harris旗下的黑客与监控技术部门Trenchant。该工具原本面向西方情报机构,随后被多个不同背景的黑客组织获取并使用,其中包括俄罗斯政府间谍和中国网络犯罪团伙。
谷歌披露“Coruna”工具包流入多方
谷歌上周公布称,在2025年期间发现一套由23个组件构成的iPhone黑客工具包被用于全球多起攻击事件。谷歌表示,这套工具包由原始开发方命名为“Coruna”,最初由一名未具名的政府客户通过某家未指明的“监控供应商”在“高度针对性行动”中部署。
谷歌的调查显示,之后一个被其以代号“UNC6353”标识的俄罗斯间谍组织使用了该工具,针对少数乌克兰用户发动攻击。随后,中国网络犯罪团伙在“广泛规模”的行动中利用同一工具包实施攻击,目标包括窃取资金和加密货币。
移动安全公司iVerify对Coruna进行了独立技术分析。该公司研究人员认为,Coruna很可能最初由一家向美国政府出售产品的公司开发。
前员工称工具与Trenchant产品高度吻合
两名曾在L3Harris任职、熟悉该公司iPhone攻击工具的前员工向TechCrunch表示,Coruna至少部分由Trenchant开发。两人均要求匿名,理由是无权公开谈论在公司期间的工作内容。
其中一名知情人士称,“Coruna绝对是某个组件的内部名称”,并表示谷歌公开的部分技术细节“非常眼熟”。另一名前员工则表示,Trenchant的整体工具包由多个组件构成,其中包括Coruna及相关漏洞利用,并确认公开工具包中的部分细节确实出自Trenchant。
公开信息显示,L3Harris仅向美国政府及其盟友——即“五眼联盟”成员国(美国、澳大利亚、加拿大、新西兰和英国)——出售Trenchant的黑客和监控工具。鉴于客户范围有限,外界推测Coruna最初应由上述某一政府情报机构获取并使用,之后流入其他主体之手。不过,目前尚不清楚此次曝光的Coruna工具包中,有多少部分直接由Trenchant开发。
L3Harris发言人未就相关问题回应置评请求。
工具跨境流转路径仍不明朗
Coruna如何从五眼联盟国家的政府承包商体系流入俄罗斯政府黑客组织,再转至中国网络犯罪团伙,目前尚无公开定论。
部分情况与Trenchant前总经理Peter Williams的案件存在相似之处。根据此前公开的司法材料,Williams在2022年至2025年中期辞职前后,将八款公司黑客工具出售给俄罗斯公司Operation Zero。Operation Zero以高价收购所谓“零日漏洞”,即尚未被相关厂商知晓的安全漏洞。
这名39岁的澳大利亚公民于上月被判处七年监禁。他承认以130万美元价格,将八款Trenchant黑客工具盗取并出售给Operation Zero。美国政府指控称,Williams利用其对Trenchant网络的“完全访问权限”,行为构成对美国及其盟友的“背叛”。检方表示,这些工具可能为使用者提供“潜在访问全球数百万台计算机和设备”的能力,暗示其依赖于影响广泛使用软件(如iOS)的漏洞。
美国财政部上月对Operation Zero实施制裁。该公司声称仅与俄罗斯政府及本地企业合作。财政部则表示,Operation Zero将Williams“盗窃的工具出售给至少一名未授权用户”。
这一说法被认为有助于解释谷歌所称的俄罗斯间谍组织UNC6353如何获得Coruna,并将其部署在被攻陷的乌克兰网站上,以针对特定地理位置访问这些恶意网站的iPhone用户。
报道指出,Operation Zero在获得Coruna后,可能先出售给俄罗斯政府,随后再被转售给其他中介、其他国家,或直接流入网络犯罪团伙。美国财政部曾指控Trickbot勒索软件团伙成员与Operation Zero存在合作关系,将这家俄罗斯中介与以财务为动机的黑客活动联系起来。
美国检方还称,Williams后来在韩国一家中介使用的代码中,认出了自己此前出售给Operation Zero的部分内容。这被视为Coruna可能多次转手、最终落入中国黑客手中的一种可能路径。
与“三角行动”的技术关联
谷歌研究人员周二表示,Coruna中的两个特定漏洞利用及其底层漏洞,被原开发者命名为“Photon”和“Gallium”,曾作为零日漏洞参与一项名为“三角行动”的复杂攻击活动。该行动据称针对俄罗斯iPhone用户,由卡巴斯基于2023年首次披露。
iVerify联合创始人Rocky Cole对TechCrunch表示,“基于目前已知情况,最合理的解释”是Trenchant及美国政府是Coruna的原始开发者和客户,但他同时强调,这一判断并非“最终定论”。
Cole称,其判断主要基于三点:Coruna的使用时间线与Williams泄露工具事件相吻合;Coruna中三个模块——Plasma、Photon和Gallium——的结构与“三角行动”高度相似;Coruna重用了“三角行动”中使用的一些漏洞利用。Cole还表示,“接近国防界的人士”声称Plasma被用于“三角行动”,但目前尚无公开证据支撑这一说法。公开资料显示,Cole曾在美国国家安全局任职。
谷歌和iVerify表示,Coruna被设计用于攻击运行iOS 13至17.2.1的iPhone机型,这些系统版本发布于2019年9月至2023年12月。该时间范围与Williams泄露工具事件及“三角行动”被发现的时间线相符。
一名前Trenchant员工回忆称,当“三角行动”在2023年首次曝光时,公司内部一些员工认为,卡巴斯基捕获的至少一个零日漏洞“来自我们,可能是从包含Coruna的整体项目中‘剥离’出来的”。
安全研究员Costin Raiu则指出,Coruna工具包中23个组件使用的鸟类命名方式,亦被视为指向Trenchant的线索之一。这些名称包括Cassowary、Terrorbird、Bluebird、Jacurutu和Sparrow等。此前《华盛顿邮报》在2021年的报道中曾披露,Azimuth是后来被L3Harris收购并并入Trenchant的两家初创公司之一,曾向FBI出售名为“Condor”的黑客工具,用于当年备受关注的圣贝纳迪诺iPhone解锁案件。
归因争议与卡巴斯基立场
卡巴斯基在发布“三角行动”研究后,俄罗斯联邦安全局(FSB)指责美国国家安全局(NSA)利用该行动入侵俄罗斯“数千部”iPhone,尤其针对外交官。卡巴斯基发言人当时表示,公司没有FSB指控的相关信息,但指出俄罗斯国家计算机事件协调中心(NCCCI)识别的“入侵指标”与卡巴斯基发现的内容一致。
卡巴斯基安全研究员Boris Larin在回复TechCrunch的邮件中表示,尽管进行了广泛研究,仍“无法将‘三角行动’归因于任何已知的高级持续威胁(APT)组织或漏洞开发公司”。
Larin解释称,谷歌之所以将Coruna与“三角行动”联系起来,是因为两者利用了相同的两个漏洞Photon和Gallium。但他强调,归因工作不能仅基于使用相同漏洞这一事实,因为这两个漏洞的全部细节早已公开,“任何人都可能利用它们”,并称这两个共享漏洞“只是冰山一角”。
卡巴斯基从未公开指责美国政府是“三角行动”的幕后主使。不过,外界注意到,该公司为这一行动设计的标志——由多个三角形构成的苹果图案——与L3Harris的公司标志在视觉上存在相似之处。一些观察人士认为,这可能并非巧合。卡巴斯基此前曾表示,不会在公开报告中直接归因具体国家或机构,但会通过图像等方式在私下场合暗示潜在幕后方或工具提供者。
2014年,卡巴斯基曾宣布发现一个复杂且隐蔽的政府级黑客组织“Careto”(西班牙语意为“面具”)。当时公司仅公开指出该组织使用西班牙语,但报告中的插图采用了西班牙国旗的红黄配色,并包含公牛角、鼻环和响板等元素。TechCrunch去年披露,卡巴斯基研究人员在内部讨论中认为,“毫无疑问”,Careto由西班牙政府运营。
网络安全记者Patrick Gray周三在其播客《Risky Business》节目中表示,基于他掌握的“零星线索”,他认为Williams泄露给Operation Zero的,正是“三角行动”中使用的那套黑客工具包。
苹果、谷歌、卡巴斯基和Operation Zero均未就相关报道回应置评请求。
