- باحثو جوجل يكتشفون أدوات استغلال معقدة للغاية يطلق عليها اسم “كورونا”
- تم نشر المجموعة من قبل أحد عملاء برامج المراقبة، قبل أن يتم استخدامها من قبل جهات التهديد الروسية والصينية
- تُظهر الوثائق الواردة في المجموعة أدلة على تطويرها من قبل حكومة الولايات المتحدة
اكتشف باحثون في مجموعة Google Threat Intelligence Group (GTIG) مجموعة استغلال معقدة للغاية تستهدف أجهزة iPhone، والتي تحتوي على عمليات استغلال وتجاوزات غير عامة.
تم استخدام المجموعة، التي تم تتبعها باسم “Coruna”، في البداية في هجمات مستهدفة من قبل عميل لشركة مراقبة لم يذكر اسمها، قبل أن تظهر أيضًا قيد الاستخدام من قبل جهات التهديد الروسية والصينية قبل أن تتمكن GTIG من استرداد المجموعة الكاملة.
أشارت الأبحاث الإضافية التي أجراها فريق iVerify حول مصادر الثغرات الموجودة في المجموعة إلى أن المجموعة ربما تم تطويرها كإطار عمل للحكومة الأمريكية.
مجموعة استغلال iPhone التي طورتها حكومة الولايات المتحدة
مجموعة استغلال Coruna ليست مثل أي برامج ضارة عادية تم تطويرها بواسطة متسلل عادي أو متسلل حديقة.
يشير تعقيد المجموعة، التي تحتوي على 23 برمجيات إكسبلويت تعمل في تكوينات مختلفة لتكوين خمس سلاسل برمجيات إكسبلويت كاملة، إلى أن المجموعة تم تجميعها من قبل دولة قومية. تعد مجموعة الاستغلال فريدة من نوعها أيضًا من حيث أنها تعمل على اختراق الأجهزة بشكل جماعي، بدلاً من الطبيعة الجراحية المحددة الهدف لبرامج التجسس التي طورتها شركات المراقبة، حيث أطلق موقع iVerify على كورونا اسم “أول هجوم جماعي معروف على نظام iOS”.
تم استرداد مجموعة أدوات الاستغلال الكاملة بواسطة Google بعد أن قام أحد ممثلي التهديدات الصينيين بنشر المجموعة لاستخدامها في العديد من مواقع المقامرة والعملات المشفرة. ومع ذلك، عند تحليلها بواسطة iVerify، احتوت مجموعة أدوات الاستغلال على وثائق مكثفة مكتوبة باللغة الإنجليزية الأصلية. كما أن الطبيعة شديدة التنظيم لإطار عمل المجموعة تشترك في أوجه التشابه مع الأطر التي طورتها حكومة الولايات المتحدة.
تم تصميم الحمولة النهائية لمجموعة أدوات الاستغلال التي تم استردادها من جهات التهديد الصينية للوصول إلى المعلومات المالية واستردادها مثل محافظ العملات المشفرة، بالإضافة إلى ملفات الوسائط والمعلومات الشخصية الحساسة.
وتشير iVerify أيضًا إلى أن كورونا اتبعت مسارًا مشابهًا لبرامج التجسس والاستغلال التي طورها بائعو المراقبة والتي يتم بيعها بعد ذلك للحكومات. يتم نشر برمجيات إكسبلويت هذه من قبل المستخدم النهائي، مثل وكالة حكومية، حيث يمكن التقاطها وسرقتها من قبل جهات تهديد أخرى ونشرها.
وأبرز مثال على ذلك هو برنامج استغلال EternalBlue، الذي استخدم ثغرة يوم الصفر لاختراق أجهزة Microsoft. تم استخدام EternalBlue بشكل نشط من قبل وكالة الأمن القومي الأمريكية (NSA) لعدة سنوات، ولم يتم إخطار Microsoft إلا باليوم صفر بعد سرقة EternalBlue.
وأضاف فريق iVerify أنه “لا يمكن الوثوق بالوسطاء الذين يتمتعون بهذه القدرات، كما أن المعاملات التجارية بين الشركات عبر سوق برامج التجسس غير منظمة إلى حد كبير.” تم تصميم عملية Pall Mall – وهي إطار عمل دولي تم تطويره لمعالجة التطوير والبيع غير المسؤول لبرامج التجسس وبرامج المراقبة – خصيصًا لمنع الموقف الدقيق الذي حدث مع EternalBlue، وربما حدث مع مجموعة Coruna.
كيف تبقى محميًا
تستخدم مجموعة Coruna الثغرات التي تم نشرها ضد أجهزة iPhone التي تعمل بنظام iOS الإصدار 13.0 (تم إصداره في سبتمبر 2019) حتى الإصدار 17.2.1 (تم إصداره في ديسمبر 2023). من خلال الترقية إلى أحدث إصدار من iOS، سيتم حماية جهازك من جميع عمليات الاستغلال المستخدمة في مجموعة Coruna.
يجب على المستخدمين الذين لا يستطيعون ترقية أجهزتهم إلى أحدث إصدار من iOS وضع iPhone الخاص بهم في وضع التأمين. للقيام بذلك، اتبع الخطوات التالية:
- اذهب الى إعدادات، ثم الخصوصية والأمن
- قم بالتمرير لأسفل وانقر فوق وضع القفل
- مقبض قم بتشغيل وضع التأمين
يجب على المستخدمين الذين يعتقدون أن أجهزتهم قد تكون مصابة أن يرجعوا إلى مؤشرات GTIG الخاصة بالاختراق، وقسم “كيفية التخلص منه” في iVerify.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
التعليقات