اكتشف باحثون أمنيون ما يبدو أنه أول هجوم واسع النطاق على نظام تشغيل iOS، وذلك باستخدام مجموعة أدوات استغلال يعتقد أنها انطلقت من إطار عمل أمريكي حكومي مسرّب. وقد تم تسجيل انتهاكات أمنية مشابهة في هجمات شنها مجرمو إنترنت صينيون، بالإضافة إلى استخدامها في هجمات روسية ضد أوكرانيا.
وأشار تقرير صادر عن مجموعة Google Threat Intelligence وفريق iVerify إلى أن مجموعة أدوات الاستغلال المعروفة باسم Coruna هي المسؤولة عن هذه الهجمات. وأكد الباحثون أن هذه الأدوات المتقدمة، التي تستغل ثغرات غير معروفة سابقاً في نظام iOS، تتيح لمختلف الجهات الفاعلة في مجال الأمن السيبراني، حتى ذات الدوافع المالية، الوصول إلى تقنيات متطورة يمكن إعادة استخدامها وتعديلها.
الهجوم على نظام iOS: أدوات الاستغلال تنتشر
يُعد بروز مجموعة أدوات الاستغلال Coruna مثالاً إضافياً على سبل انتشار القدرات الأمنية المتطورة، وفقاً لما ذكرته جوجل في مدونة لها. ورغم أن طريقة هذا الانتشار لا تزال غير واضحة، إلا أنها تشير إلى وجود سوق نشط لـ “مخترقات” الثغرات الأمنية المستخدمة.
من جهتها، أشارت iVerify إلى وجود بعض الأدلة التي تربط هذه الأداة بإطار عمل حكومي أمريكي مسرّب، لكنها أكدت أن هذا لا يجب أن يطغى على حقيقة أن هذه الأدوات ستجد طريقها إلى العالم وسيتم استخدامها بلا مبالاة من قبل جهات خبيثة.
أصل الأدوات وسياقات الاستخدام
ربطت كل من جوجل و iVerify مجموعة أدوات الاستغلال Coruna بعملية “Triangulation” التي كشفت عنها شركة كاسبيرسكي للأمن السيبراني في عام 2023. وقد استهدفت هذه العملية الشركة والحكومة الروسية، وتم ربطها بالحكومة الأمريكية، وهو ما رفضت وكالة الأمن القومي التعليق عليه.
وفي سياق متصل، كشفت iVerify عن تأثر ما لا يقل عن 42 ألف جهاز بالهجوم، وهو عدد يعتبر كبيراً بالنسبة لنظام iOS. وأوضح الباحثون أن هذا العدد قد يتزايد مع تعمق التحقيقات الفنية.
وإضافة إلى ذلك، أشار الباحثون إلى أن بنية الكود الرئيسية للإطار والأدوات المستخدمة كانت متقنة للغاية، ما يدعم فرضية أنها نشأت في بيئة تطوير ذات خبرة عالية، مثل قاعدة الصناعات الدفاعية الأمريكية، حيث تشير التعليقات الموجودة في الكود إلى متحدثين أصليين باللغة الإنجليزية.
تتبع النشاط السيبراني وارتباطاته
قامت جوجل بتتبع استخدام مجموعة أدوات الاستغلال Coruna على مدار العام الماضي، وذلك في عمليات شملت عميلاً غير محدد تابعاً لمزود خدمات مراقبة، وهجمات ضد مستخدمين أوكرانيين من قبل مجموعة تجسس روسية مشتبه بها. وتمكنت جوجل لاحقاً من استعادة مجموعة أدوات الاستغلال كاملة من مجموعة ذات دوافع مالية تنشط في الصين.
وفي هذا الصدد، علّق الباحث الأمني المتخصص في أجهزة آبل، باتريك واردل، عبر منصة X، بأن المجرمين السيبرانيين قاموا باستغلال الثغرات الأمنية (zero-days) لاختراق أجهزة آبل.
وعلى الرغم من أن آبل لم ترد على طلبات التعليق، إلا أنها أصدرت العديد من التحديثات الأمنية لمعالجة الثغرات التي تم اكتشافها في إطار عملية Triangulation، وتعاونت مع جوجل في الأبحاث الحديثة. وتؤكد هذه التطورات على الأهمية المتزايدة للأمن السيبراني وحماية الأنظمة الرقمية من التهديدات المتطورة.