一款本应仅供美国及其盟友使用的顶级 iPhone 攻击工具,因内部员工倒卖而外泄,最终演变成针对全球用户的网络武器。这款名为 Coruna 的工具最初由美国军工承包商 L3Harris 旗下的 Trenchant 部门开发,旨在服务于“五眼联盟”情报机构,却在流向俄罗斯间谍和中国网络犯罪团伙后,引发了针对乌克兰和中国用户的大规模黑客攻击。
核心事件:顶级武器的“大范围扩散”
这一系列网络攻击的根源可以追溯到一起严重的内鬼泄密案:
- 泄密者: Trenchant 前总经理 Peter Williams(澳大利亚籍)。
- 倒卖行为: Williams 利用职务之便窃取了公司 8 款黑客工具,以 130 万美元的价格卖给了俄罗斯漏洞经纪商 Operation Zero。
- 波及范围: 尽管这些工具最初是为西方间谍设计的,但最终却落入敌手:
- 俄罗斯间谍: 利用该工具攻击乌克兰用户。
- 中国犯罪团伙: 利用该工具进行大规模攻击,旨在窃取资金和加密货币。
什么是 Coruna 工具包?
Coruna 是一个极其复杂的黑客工具包,包含 23 个不同的组件,专门用于攻击运行 iOS 13 至 17.2.1 版本的 iPhone(覆盖 2019 年至 2023 年底发布的设备)。
- 利用漏洞: 该工具利用了多个零日漏洞(即苹果公司尚未知晓且未修补的系统漏洞)。
- 开发背景: 多名 L3Harris 前员工确认,Coruna 是该公司内部开发的 iPhone 监控和入侵组件之一。
- 关联性: 技术细节显示,Coruna 与 2023 年被曝光的针对俄罗斯用户的“三角测量行动”(Operation Triangulation)高度吻合。
这次泄密事件意味着,原本只有极少数情报机构掌握的“数字核武器”,现在已经成了犯罪分子手中触手可及的作案工具。
复杂的利益链条与后果
这些工具的流转路径揭示了地下漏洞市场的黑暗现状:
- 从军工到黑市: 漏洞经纪商 Operation Zero 虽然声称只与俄罗斯政府合作,但实际上将工具转售给了其他经纪商或犯罪组织。
- 从间谍到窃贼: 曾经用于政治间谍活动的精密工具,现在被中国黑客用于针对普通人的经济犯罪。
- “回旋镖”效应: 美国政府承包商开发的工具,最终被俄罗斯用来攻击美国的盟友(乌克兰),甚至被发现曾用于攻击俄罗斯境内的外交人员。
关键洞见:系统安全的脆弱性
这次事件凸显了全球网络安全的一个残酷现实:
- 没有绝对的封锁: 即便是为顶级政府开发的监控工具,也无法保证不被倒卖、窃取或被对手逆向工程。
- 供应链隐患: 军工承包商的高级权限成了最大的安全漏洞。一旦内部管理失效,全球数以亿计的移动设备都将面临风险。
- 漏洞的“生命力”: 同一套攻击代码可以在不同组织间流转数年,从针对政要的定向攻击演变为针对平民的大规模掠夺。
本质上,这是一个由于内部贪婪导致国家级武器“民用化”的典型案例,它让普通 iPhone 用户成了地缘政治和网络犯罪交织下的牺牲品。