Een geavanceerde iPhone-hacktoolkit, mogelijk afkomstig van een Amerikaanse overheidscontractant, is in de handen van Russische spionnen en nu cybercriminelen terechtgekomen. De tool, door Google-onderzoekers ‘Coruna’ genoemd, maakt de stille installatie van malware op iPhones mogelijk door simpelweg een gecompromitteerde website te bezoeken. Dit is een zeldzaam en alarmerend voorbeeld van geavanceerde hackmogelijkheden die aan de controle ontsnappen en worden hergebruikt voor spionage en financiële criminaliteit.
Van door de staat gesponsorde spionage tot cryptodiefstal
De toolkit werd voor het eerst in gebruik gezien door vermoedelijke Russische inlichtingenagenten die zich op Oekraïense burgers richtten. Later dook het weer op in een puur op winst gerichte campagne, waarbij Chineestalige cryptocurrency- en goksites werden geïnfecteerd om geld te stelen. Beveiligingsexperts vermoeden dat de onderliggende code oorspronkelijk is ontwikkeld voor of verworven door de Amerikaanse overheid, wat serieuze vragen oproept over de veiligheid van nationale cybertools.
De mogelijkheden van Coruna: een zeldzame verzameling zero-day-exploits
Coruna maakt gebruik van 23 verschillende kwetsbaarheden in iOS, een ongewoon hoog aantal dat erop wijst dat het door een goed gefinancierd, door de staat gesponsord hackteam is gecreëerd. Uit het rapport van Google blijkt dat de toolkit vijf complete hacktechnieken bevat die in staat zijn de iPhone-verdediging te omzeilen zonder tussenkomst van de gebruiker. Dit betekent dat zelfs volledig bijgewerkte iPhones met de nieuwste software kwetsbaar zijn als ze een geïnfecteerde site bezoeken.
Bewijs wijst op Amerikaanse oorsprong
Onderzoekers van iVerify ontdekten opvallende overeenkomsten tussen de code van Coruna en hackoperaties die eerder verband hielden met de Amerikaanse National Security Agency (NSA), met name de ‘Triangulation’-campagne gericht op Kaspersky, een Russisch cyberbeveiligingsbedrijf. De structuur en verfijning van de code doen vermoeden dat er één enkele, zeer professionele ontwikkelaar is – een niveau van verfijning dat je zelden tegenkomt bij amateur-hackoperaties.
“Dit is het eerste voorbeeld dat we hebben gezien van zeer waarschijnlijke instrumenten van de Amerikaanse overheid… die uit de hand lopen en worden gebruikt door zowel onze tegenstanders als cybercriminele groepen”, zegt Rocky Cole, medeoprichter van iVerify.
Het EternalBlue-moment voor mobiel
De proliferatie van Coruna wordt vergeleken met het lek van ‘EternalBlue’, een door de NSA ontwikkelde Windows-hacktool die werd gestolen en als wapen werd ingezet bij verwoestende cyberaanvallen zoals WannaCry en NotPetya. De beschikbaarheid van dergelijke krachtige mobiele hacktools zou kunnen leiden tot wijdverbreide exploitatie, vooral onder oudere iOS-versies.
Mitigatie en impact
Apple heeft de kwetsbaarheden hersteld die door Coruna in iOS 26 worden uitgebuit, wat betekent dat apparaten met eerdere versies (iOS 13 tot en met 17.2.1) nog steeds risico lopen. Het bestaan van de toolkit onderstreept echter een gevaarlijke realiteit: zelfs de veiligste apparaten zijn kwetsbaar wanneer geavanceerde hacktools in verkeerde handen vallen. Uit eerste schattingen blijkt dat Coruna mogelijk al tienduizenden apparaten heeft geïnfecteerd, met mogelijk veel grotere schade.
Het feit dat een zeer geavanceerd instrument, ontwikkeld door een door de staat gesponsorde actor, in het criminele ecosysteem is gelekt, onderstreept de risico’s die inherent zijn aan de zero-day exploit-markt. Makelaars die deze tools aan de hoogste bieder verkopen, zorgen ervoor dat ze onvermijdelijk in de handen van tegenstanders en cybercriminelen terechtkomen, waardoor het onmogelijk wordt ze onder controle te houden. De geest is, zoals een expert het uitdrukte, uit de fles.
