Coruna: Hedefteki iPhone Kullanıcıları
2025 yılı boyunca Google, Ukrayna ve Çin'deki iPhone kullanıcılarını hedef alan geniş çaplı bir siber saldırıda kullanılan "Coruna" adındaki hack aracının, ABD askeri yüklenicisi L3Harris tarafından geliştirildiğini ortaya koydu. Bu araç, başlangıçta Batılı istihbarat teşkilatları için tasarlanmışken, zamanla Rus ve Çinli hacker gruplarının eline geçti.
Coruna, 23 farklı bileşenden oluşuyor ve başlangıçta ismi bilinmeyen bir devlet müşterisi tarafından yüksek hedefli operasyonlarda kullanıldı. İleri düzeyde bir hack aracı olan Coruna, Rus hükümetinin Ukrayna'daki sınırlı hedeflerine ve sonrasında ise Çinli siber suçluların geniş çaplı kampanyalarına maruz kaldı. Araştırmacılar, bu aracı detaylı bir şekilde inceleyen mobil siber güvenlik şirketi iVerify'nin analizlerine göre, aracın aslında L3Harris tarafından üretilmiş olabileceğini düşünüyor.
L3Harris ve İçsel Gelişim
L3Harris'in eski çalışanları, Coruna'nın Trenchant isimli hacking ve gözetleme teknolojileri bölümünde geliştirilmiş olduğunu belirtiyor. İki eski çalışan, L3Harris'in iPhone hack araçları hakkında bilgi sahibi olduklarını ve anonim kalmayı tercih ettiklerini ifade etti. Bir çalışan, "Coruna kesinlikle bir bileşenin iç ismi," dedi. Bu çalışan, Google'ın yayımladığı bazı teknik detayların tanıdık olduğunu vurguladı. Ayrıca, Trenchant'ın araçlarının yalnızca ABD hükümeti ve Beş Göz İstihbarat İttifakı'na (Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık) satıldığı bilgisi dikkat çekiyor.
Hacking Araçlarının Sızması
Peter Williams isimli eski bir Trenchant yöneticisi, 2022-2025 yılları arasında sekiz hacking aracını Rusya merkezli Operation Zero adlı şirkete satmaktan ceza aldı. Williams, bu araçları 1.3 milyon dolara sattığını kabul etti ve ABD hükümeti, bu eylem ile müttefiklerine ihanet ettiğini belirtti. Williams’ın sızdırdığı araçlar, dünya çapında milyonlarca bilgisayar ve cihazın hedef alınmasına olanak tanıyordu. Bu durum, Coruna'nın nasıl Rus casus grubunun eline geçtiğini açıklıyor.
Coruna’nın Yayılması ve Kullanım Alanları
Coruna'nın, Operation Zero aracılığıyla Rus hükümetine geçtikten sonra başka bir ülkeye veya siber suçlulara satılması olası. Bu süreçte, Coruna'nın bazı bileşenleri, iPhone kullanıcılarını hedef alan saldırılarda kullanıldı. Google ve iVerify, Coruna'nın iOS 13'ten 17.2.1 sürümüne kadar olan iPhone modellerini hedef aldığını belirtiyor. Bu tarihler, Williams’ın sızdırdığı araçlarla örtüşüyor.
Operasyon Triangülasyonu ve Hedefler
Google araştırmacıları, Coruna'nın Photon ve Gallium adında iki spesifik açığı, Rus iPhone kullanıcılarına karşı kullanılan Operasyon Triangülasyonu'nda kullanıldığını belirtti. Kaspersky tarafından 2023'te ortaya çıkarılan bu operasyon, geniş kapsamlı bir hack kampanyasıydı. iVerify'nin kurucu ortağı Rocky Cole, Coruna'nın Trenchant ve ABD hükümeti tarafından geliştirilen bir araç olduğunu öne sürdü. Ancak, kesin bir iddiada bulunmayı reddetti. Üç ana faktör, Coruna'nın Trenchant tarafından geliştirilmiş olabileceğini gösteriyor: Coruna'nın kullanımı, Williams’ın sızdırmalarının zamanlaması, Coruna’nın yapısındaki benzerlikler ve kullanılan bazı açıkların tekrar kullanılması.
Sonuç
Coruna'nın nasıl geliştiği ve el değiştirdiği hakkında birçok soru var. Ancak, bu durum, modern siber güvenlik ve casusluk dünyasındaki karmaşık ilişkileri ve tehlikeleri gözler önüne seriyor. Bu tür hacking araçlarının kimlerin eline geçtiği ve hangi amaçlarla kullanıldığı, yalnızca bir ülkenin güvenliği açısından değil, tüm dünyayı ilgilendiren bir mesele haline geliyor.
