Ein hochentwickeltes iPhone-Hacking-Toolkit, das möglicherweise von einem Auftragnehmer der US-Regierung stammt, ist in die Hände russischer Spione und nun auch Cyberkrimineller gelangt. Das von Google-Forschern „Coruna“ getaufte Tool ermöglicht die stille Installation von Malware auf iPhones, indem einfach eine kompromittierte Website besucht wird. Dies stellt einen seltenen und alarmierenden Fall dar, in dem fortschrittliche Hacking-Fähigkeiten der Kontrolle entgehen und für Spionage und Finanzkriminalität zweckentfremdet werden.
Von staatlich geförderter Spionage bis zum Kryptodiebstahl
Der Einsatz des Toolkits wurde erstmals von mutmaßlichen russischen Geheimdienstmitarbeitern beobachtet, die es auf ukrainische Bürger abgesehen hatten. Später tauchte es in einer rein gewinnorientierten Kampagne wieder auf und infizierte chinesischsprachige Kryptowährungs- und Glücksspielseiten, um Gelder zu stehlen. Sicherheitsexperten vermuten, dass der zugrunde liegende Code ursprünglich für die US-Regierung entwickelt oder von dieser erworben wurde, was ernsthafte Fragen zur Sicherheit nationalstaatlicher Cyber-Tools aufwirft.
Corunas Fähigkeiten: Eine seltene Sammlung von Zero-Day-Exploits
Coruna nutzt 23 verschiedene Schwachstellen in iOS aus, eine ungewöhnlich hohe Zahl, die darauf hindeutet, dass das Gerät von einem gut finanzierten, staatlich geförderten Hackerteam erstellt wurde. Aus dem Bericht von Google geht hervor, dass das Toolkit fünf vollständige Hacking-Techniken umfasst, mit denen die iPhone-Abwehrmaßnahmen ohne Benutzerinteraktion umgangen werden können. Das bedeutet, dass selbst vollständig aktualisierte iPhones mit der neuesten Software anfällig sind, wenn sie eine infizierte Website besuchen.
Beweise deuten auf US-Ursprünge hin
Forscher von iVerify fanden auffällige Ähnlichkeiten zwischen Corunas Code und Hacking-Operationen, die zuvor mit der US-amerikanischen National Security Agency (NSA) in Verbindung gebracht wurden, insbesondere der „Triangulation“-Kampagne gegen Kaspersky, ein russisches Cybersicherheitsunternehmen. Die Struktur und Ausgereiftheit des Codes lassen auf einen einzelnen, hochprofessionellen Entwickler schließen – ein Grad an Feinschliff, der bei Amateur-Hacker-Operationen selten zu finden ist.
„Dies ist das erste Beispiel, das wir gesehen haben, dass höchstwahrscheinlich Werkzeuge der US-Regierung außer Kontrolle geraten und sowohl von unseren Gegnern als auch von Cyberkriminellengruppen genutzt werden“, sagt Rocky Cole, Mitbegründer von iVerify.
Der EternalBlue Moment für Mobilgeräte
Die Verbreitung von Coruna wird mit dem Durchsickern von „EternalBlue“ verglichen, einem von der NSA entwickelten Windows-Hacker-Tool, das gestohlen und bei verheerenden Cyberangriffen wie WannaCry und NotPetya als Waffe eingesetzt wurde. Die Verfügbarkeit solch leistungsstarker mobiler Hacking-Tools könnte zu einer weit verbreiteten Ausnutzung führen, insbesondere bei älteren iOS-Versionen.
Schadensbegrenzung und Auswirkungen
Apple hat die von Coruna ausgenutzten Schwachstellen in iOS 26 behoben, sodass Geräte mit früheren Versionen (iOS 13 bis 17.2.1) weiterhin gefährdet sind. Die Existenz des Toolkits unterstreicht jedoch eine gefährliche Realität: Selbst die sichersten Geräte sind anfällig, wenn fortschrittliche Hacking-Tools in die falschen Hände geraten. Erste Schätzungen deuten darauf hin, dass Coruna möglicherweise bereits Zehntausende Geräte infiziert hat, mit dem Potenzial für weitaus größere Schäden.
Die Tatsache, dass ein hochentwickeltes Tool, das von einem staatlich geförderten Akteur entwickelt wurde, in das kriminelle Ökosystem gelangt ist, verdeutlicht die mit dem Zero-Day-Exploit-Markt verbundenen Risiken. Makler, die diese Tools an den Meistbietenden verkaufen, stellen sicher, dass sie unweigerlich in die Hände von Gegnern und Cyberkriminellen gelangen und es unmöglich macht, sie einzudämmen. Der Geist ist, wie ein Experte es ausdrückte, aus der Flasche.
