Nieuwe iPhone-dreiging: Alles over de Coruna-kit
Het Russische cybersecuritybedrijf Kaspersky weerspreekt beweringen dat de onlangs door Google ontdekte iPhone-exploitkit 'Coruna' afkomstig is van dezelfde makers als de spionagesoftware achter 'Operation Triangulation'. Die laatste werd door Moskou in 2023 rechtstreeks aan de Amerikaanse NSA toegeschreven.
Nadat Google’s Threat Intelligence Group (GTIG) details over Coruna publiceerde, trokken diverse experts parallellen met de geraffineerde zero-day aanvallen op Russische diplomaten uit 2023. De overeenkomst zit in twee specifieke kwetsbaarheden (CVE-2023-32434 en CVE-2023-38606) die in beide campagnes werden gebruikt, aldus The Register. Rocky Cole, mede-oprichter van iVerify, stelde tegenover Wired dat de code de kenmerken draagt van tools ontwikkeld door de Amerikaanse overheid.
Geen bewijs voor hergebruik
Kaspersky, dat de aanvallen in 2023 als eerste blootlegde, is echter sceptisch. Boris Larin, hoofdonderzoeker bij Kaspersky GReAT, verklaarde dat er geen bewijs is voor het hergebruik van daadwerkelijke code. "Een kwetsbaarheid is geen softwarecomponent," aldus Larin. Hoewel de gebruikte bugs zeer complex zijn, zijn de implementaties inmiddels publiek bekend. Elke bekwame hackersgroep zou deze gaten kunnen uitbuiten zonder ooit de originele NSA-code te hebben gezien.
Wat is Coruna?
Coruna is een uiterst geavanceerde kit die 23 verschillende kwetsbaarheden bevat voor iOS-versies 13 tot 17.2.1. Google ontdekte dat de software werd ingezet via gehackte Oekraïense websites en een groot netwerk van neppe Chinese crypto-sites. De ontdekking van een debug-versie onthulde dat alle codenamen in het Engels zijn geschreven, wat de speculaties over een westerse herkomst aanwakkerde. Volgens Google wijst de inzet door verschillende groepen op een bloeiende secundaire markt voor 'tweedehands' zero-days.
