谷歌披露全球iPhone攻击工具包“Coruna”
谷歌近日披露,在2025年期间发现一套复杂的iPhone黑客工具包被用于多起全球网络攻击。该工具包被其原始开发者命名为“Coruna”,由23个不同组件构成。谷歌称,Coruna最初由一名未具名的政府客户及其未公开身份的“监控供应商”在“高度针对性行动”中使用,随后被俄罗斯政府间谍组织用于攻击少量乌克兰目标,最终又被中国网络犯罪团伙在大规模行动中用于窃取资金和加密货币。
移动安全公司 iVerify 随后对 Coruna 进行了独立技术分析,认为该工具很可能最初由一家向美国政府出售产品的公司开发。
前员工称工具与L3Harris Trenchant高度吻合
多名知情人士向 TechCrunch 表示,Coruna 的部分组件极有可能由美国军方承包商 L3Harris 旗下黑客与监控技术部门 Trenchant 研发。
两名前 L3Harris 员工称,Coruna 至少部分由 Trenchant 团队开发。他们均表示了解公司内部的 iPhone 黑客工具,但因未获授权谈论相关工作而要求匿名。
其中一名前员工称,“Coruna 绝对是某个组件的内部名称”,并表示自己在 Trenchant 任职期间熟悉相关 iPhone 攻击工具。该员工指出,谷歌公开的技术细节“很多都很眼熟”。
这名员工称,Trenchant 的整体工具包由多个组件构成,其中包括 Coruna 及相关漏洞利用模块。另一名前员工则确认,公开的黑客工具包中部分细节确实出自 Trenchant。
L3Harris 未就相关置评请求作出回应。
工具原供“五眼联盟”情报机构 使用路径成谜
据知情人士介绍,L3Harris 仅向美国政府及其“五眼联盟”盟友——澳大利亚、加拿大、新西兰和英国——销售 Trenchant 的黑客与监控工具。鉴于客户范围有限,Coruna 被认为最初应由上述国家情报机构之一获取并使用,随后因某种原因流出,落入非预期使用者之手。
目前尚不清楚公开版本的 Coruna 工具包中,有多少部分直接由 L3Harris Trenchant 开发,也不清楚该工具如何从“五眼联盟”政府承包商流向俄罗斯政府黑客组织,再到中国网络犯罪团伙。
与前总经理私售漏洞案时间线重合
部分线索被指与 Trenchant 前总经理 Peter Williams 的案件相似。Williams 于2022年至2025年中期辞职前,将公司八款黑客工具出售给俄罗斯公司 Operation Zero。
美国政府资料显示,Operation Zero 以数百万美元价格收购所谓“零日漏洞”,即尚未被相关厂商知晓的安全漏洞。39岁的澳大利亚公民 Williams 上月被判处七年监禁,承认以130万美元价格盗取并出售八款 Trenchant 黑客工具给 Operation Zero。
美国政府指控 Williams 利用对 Trenchant 网络的“完全访问权限”,被称为“背叛”美国及其盟友。检方称,他泄露的工具可能使使用者“潜在访问全球数百万台计算机和设备”,暗示这些工具依赖于影响广泛使用软件(如 iOS)的漏洞。
美国财政部上月对 Operation Zero 实施制裁,称该公司仅与俄罗斯政府及本地企业合作,并表示该中介将 Williams“盗窃的工具出售给至少一名未经授权的用户”。
这一说法被认为有助解释谷歌仅以 UNC6353 代号标识的俄罗斯间谍组织如何获得 Coruna,并将其部署在被攻陷的乌克兰网站上,对特定地理位置的 iPhone 用户实施攻击,这些用户在无意间访问恶意网站时遭到入侵。
财政部还指控,Trickbot 勒索软件团伙成员曾与 Operation Zero 合作,将该中介与以财务为动机的黑客活动联系起来。分析人士据此推测,Operation Zero 在获得 Coruna 后,可能先出售给俄罗斯政府,再经由中介转售给其他买家,包括其他国家或网络犯罪团伙。
美国检察官称,Williams 事后认出,自己编写并出售给 Operation Zero 的代码后来被一家韩国中介使用,显示相关工具可能多次转手,最终流入中国黑客团伙手中。
与“Operation Triangulation”共享关键漏洞
谷歌研究人员本周二表示,Coruna 中两个特定漏洞利用工具 Photon 和 Gallium 的命名来自原始开发者,这两项零日漏洞曾被用于“Operation Triangulation”行动——一场针对俄罗斯 iPhone 用户的复杂黑客活动。该行动由卡巴斯基于2023年首次披露。
iVerify 联合创始人 Rocky Cole 对 TechCrunch 表示,“基于目前已知信息,最合理的解释是 Trenchant 和美国政府是 Coruna 的原始开发者和客户”,但他同时强调,这一判断并非“最终定论”。
Cole 称,其判断主要基于三点:一是 Coruna 的使用时间线与 Williams 泄露工具的时间相吻合;二是 Coruna 中三个模块——Plasma、Photon 和 Gallium 的结构与 Operation Triangulation 中使用的组件高度相似;三是 Coruna 重用了 Triangulation 行动中使用的一些漏洞利用工具。
他还表示,“接近国防界的人士”声称,Plasma 曾被用于 Operation Triangulation,“尽管没有公开证据”。公开资料显示,Cole 曾在美国国家安全局任职。
谷歌和 iVerify 指出,Coruna 设计用于攻击运行 iOS 13 至 17.2.1 版本的 iPhone 设备,这些版本发布于2019年9月至2023年12月。该时间段与 Williams 泄露工具及 Operation Triangulation 被发现的时间线相符。
一名前 Trenchant 员工对 TechCrunch 表示,2023年 Operation Triangulation 首次曝光时,公司内部一些员工认为,卡巴斯基捕获的至少一个零日漏洞“来自我们,可能是从包含 Coruna 的整体项目中‘剥离’出来的”。
命名习惯与过往项目被指构成侧面线索
安全研究员 Costin Raiu 指出,Coruna 工具集中大量使用鸟类名称,如 Cassowary、Terrorbird、Bluebird、Jacurutu 和 Sparrow,这一命名习惯被视为指向 Trenchant 的另一条线索。
《华盛顿邮报》曾于2021年报道,L3Harris 收购并整合进 Trenchant 的初创公司 Azimuth 曾向美国联邦调查局出售名为 Condor 的黑客工具,用于当年备受关注的圣贝纳迪诺 iPhone 破解案。
卡巴斯基未公开归因 仅指技术重合
在卡巴斯基发布 Operation Triangulation 研究后,俄罗斯联邦安全局(FSB)指责美国国家安全局利用该行动入侵俄罗斯“数千部”iPhone,特别针对外交官。卡巴斯基发言人当时表示,公司没有关于 FSB 指控的相关信息,但指出,俄罗斯国家计算机事件协调中心(NCCCI)识别的“入侵指标”与卡巴斯基发现的相同。
卡巴斯基安全研究员 Boris Larin 通过邮件对 TechCrunch 表示,“尽管我们进行了广泛研究,但无法将 Operation Triangulation 归因于任何已知的高级持续威胁(APT)组织或漏洞开发公司。”
Larin 解释称,谷歌将 Coruna 与 Operation Triangulation 联系起来,是因为两者利用了相同的两个漏洞 Photon 和 Gallium。但他强调,归因“不能仅基于利用这些漏洞的事实”,因为这两个漏洞的所有细节早已公开,“任何人都可能利用它们”,并称这两个共享漏洞“只是冰山一角”。
卡巴斯基从未公开指责美国政府是 Operation Triangulation 背后操作者。值得注意的是,该公司为该行动设计的标志——由多个三角形组成的苹果图案——与 L3Harris 标志相似,而 Trenchant 的标志由两个三角形构成。卡巴斯基此前表示,不会公开归因具体黑客行动,但会通过视觉或其他方式在私下暗示可能的幕后方或工具提供者。
早在2014年,卡巴斯基曾宣布发现一个复杂且难以追踪的政府黑客组织“Careto”(西班牙语意为“面具”)。当时该公司仅称该组织成员讲西班牙语,但报告中使用的面具插图包含西班牙国旗的红黄配色、公牛角和鼻环以及响板等元素。TechCrunch 去年披露,卡巴斯基研究人员在内部讨论中认定,“毫无疑问”,Careto 由西班牙政府运营。
媒体与业内进一步指向 Williams 泄露工具
网络安全记者 Patrick Gray 周三在其播客《Risky Business》中表示,基于他确信的“零星信息”,Williams 泄露给 Operation Zero 的正是 Operation Triangulation 行动中使用的黑客工具包。
苹果、谷歌和 Operation Zero 均未就相关报道回应置评请求。
本文最初发表于太平洋时间3月9日18:56。
