Un sofisticato kit di strumenti per l’hacking dell’iPhone, potenzialmente proveniente da un appaltatore del governo statunitense, è finito nelle mani di spie russe e ora di criminali informatici. Lo strumento, soprannominato “Coruna” dai ricercatori di Google, consente l’installazione silenziosa di malware sugli iPhone semplicemente visitando un sito Web compromesso. Ciò rappresenta un caso raro e allarmante di capacità di hacking avanzate che sfuggono al controllo e vengono riutilizzate per lo spionaggio e la criminalità finanziaria.
Dallo spionaggio sponsorizzato dallo Stato al furto di criptovalute
Il toolkit è stato osservato per la prima volta in uso da presunti agenti dell’intelligence russa che prendevano di mira cittadini ucraini. Successivamente, è riemerso in una campagna puramente orientata al profitto, infettando criptovalute in lingua cinese e siti di gioco d’azzardo per rubare fondi. Gli esperti di sicurezza sospettano che il codice sottostante possa essere stato originariamente sviluppato o acquisito dal governo degli Stati Uniti, sollevando seri dubbi sulla sicurezza degli strumenti informatici degli stati-nazione.
Le capacità di Coruna: una rara raccolta di exploit zero-day
Coruna sfrutta 23 distinte vulnerabilità in iOS, un numero insolitamente alto che suggerisce la sua creazione da parte di un team di hacker ben finanziato e sponsorizzato dallo stato. Il rapporto di Google rivela che il toolkit include cinque tecniche di hacking complete in grado di aggirare le difese dell’iPhone senza l’interazione dell’utente. Ciò significa che anche gli iPhone completamente aggiornati che eseguono il software più recente sono vulnerabili se visitano un sito infetto.
Le prove indicano origini statunitensi
I ricercatori di iVerify hanno scoperto sorprendenti somiglianze tra il codice di Coruna e le operazioni di hacking precedentemente collegate alla National Security Agency (NSA) degli Stati Uniti, in particolare la campagna “Triangolazione” rivolta a Kaspersky, una società di sicurezza informatica russa. La struttura e la sofisticatezza del codice suggeriscono un unico sviluppatore altamente professionale, un livello di raffinatezza raramente visto nelle operazioni di hacking amatoriale.
“Questo è il primo esempio che vediamo di strumenti governativi molto probabili degli Stati Uniti… che vanno fuori controllo e vengono utilizzati sia dai nostri avversari che da gruppi di criminali informatici”, afferma Rocky Cole, co-fondatore di iVerify.
Il momento EternalBlue per dispositivi mobili
La proliferazione di Coruna viene paragonata alla fuga di dati di “EternalBlue”, uno strumento di hacking di Windows sviluppato dalla NSA che è stato rubato e utilizzato come arma in devastanti attacchi informatici come WannaCry e NotPetya. La disponibilità di strumenti di hacking mobile così potenti potrebbe portare a uno sfruttamento diffuso, soprattutto tra le versioni iOS più vecchie.
Mitigazione e impatto
Apple ha corretto le vulnerabilità sfruttate da Coruna in iOS 26, il che significa che i dispositivi che eseguono versioni precedenti (da iOS 13 a 17.2.1) rimangono a rischio. Tuttavia, l’esistenza del toolkit sottolinea una realtà pericolosa: anche i dispositivi più sicuri sono vulnerabili quando gli strumenti di hacking avanzati cadono nelle mani sbagliate. Le stime iniziali suggeriscono che Coruna potrebbe aver già infettato decine di migliaia di dispositivi, con il rischio di danni molto più ampi.
Il fatto che uno strumento altamente sofisticato sviluppato da un attore sponsorizzato dallo Stato sia penetrato nell’ecosistema criminale evidenzia i rischi inerenti al mercato degli exploit zero-day. I broker che vendono questi strumenti al miglior offerente assicurano che finiranno inevitabilmente nelle mani di avversari e criminali informatici, rendendo impossibile il loro contenimento. Il genio, come ha detto un esperto, è fuori dalla lampada.
