تكشف تقارير أمنية عن مجموعة استغلال آيفون ضخمة تستهدف iOS من 13 حتى 17.2.1، لكن وضع العزل لدى آبل يمنع الهجمات فعلياً بالكامل.
ما هي مجموعة استغلال آيفون Coruna ولماذا خطيرة؟
أظهر تقرير من فريق استخبارات التهديدات في جوجل أن حزمة Coruna تمثل سلسلة توريد معقدة لثغرات iOS، إذ انتقلت بين جهات تجسس وأطراف إجرامية. وتصفها تيكبامين بأنها من أضخم الحزم المعلنة حتى الآن بسبب تعدد الهجمات وتنوع الضحايا.
اللافت أن انتقال الأداة بين جهات مختلفة يوحي بوجود سوق نشط لشراء وبيع ثغرات يوم صفر بعد استخدامها. هذا يفسر كيف وصلت من عميل تجاري إلى مجموعات مرتبطة بالتجسس ثم إلى جهات مالية.
كيف ظهرت الحزمة لأول مرة؟
تم رصدها لأول مرة في فبراير 2025 عند استخدام عميل لشركة مراقبة تجارية لهذه الأدوات. وفي صيف العام نفسه ظهرت في هجمات مواقع مصابة تستهدف مستخدمين أوكرانيين، قبل أن تتوسع لاحقاً عبر مواقع مالية مزيفة.
- فبراير 2025: استخدام أولي عبر عميل مراقبة تجارية.
- صيف 2025: هجمات مواقع مصابة تستهدف أوكرانيا.
- أواخر 2025: انتشار على شبكة مواقع مالية وعملات رقمية مزيفة.
كيف تعمل مجموعة استغلال آيفون على إصدارات iOS؟
الحزمة تستهدف إصدارات iOS من 13.0 حتى 17.2.1 وتضم 23 استغلالاً عبر أربع سنوات من تحديثات النظام. عند زيارة موقع مصاب، تقوم بتحديد طراز آيفون وإصدار النظام ثم تختار الهجوم الأنسب بدقة.
ما الذي يميز تصميم الحزمة تقنياً؟
يشير التحليل إلى أن الشفرة مشفرة بعناية وتستخدم تنسيقاً مخصصاً طوره المهاجمون، ما يصعّب على الباحثين فكها سريعاً. كما تتضمن ملاحظات إنجليزية تفصيلية توضح طريقة التشغيل.
- تشفير قوي يمنع اعتراض الشفرة بسهولة.
- تنسيق حزم مخصص غير متداول علنياً.
- مستندات داخلية توضح خطوات الاستغلال.
- أساليب هجومية غير موثقة سابقاً.
لماذا يعد وضع العزل من آبل حاجزاً حاسماً؟
اللافت أن الأداة تتوقف فور اكتشاف تفعيل وضع العزل في آيفون، ولا تحاول تشغيل أي استغلال. هذا يعكس قدرة آبل على تقليص سطح الهجوم للأهداف عالية المخاطر.
- تفعيل وضع العزل للحسابات الحساسة والناشطين.
- تحديث النظام إلى أحدث إصدار متاح.
- تجنب زيارة روابط مالية أو مشبوهة من مصادر مجهولة.
ما البيانات التي تستهدفها الهجمات المالية والرقمية؟
تركز الحزمة على المحافظ الرقمية والبيانات المالية، ويمكنها التسلل إلى تطبيقات عملات رقمية متعددة لاستخراج بيانات الاعتماد. ووفقاً لتيكبامين، فإن هذا النمط يعكس انتقال الاهتمام من التجسس التقليدي إلى الربح السريع.
- دعم استهداف 18 تطبيقاً للعملات الرقمية عبر آيفون.
- قراءة رموز QR من الصور المخزنة على الجهاز.
- تحليل نصوص للعثور على عبارات BIP39 أو كلمات مثل «backup phrase».
- فحص تطبيق الملاحظات للبحث عن عبارات استرداد شائعة.
ويشير المحللون إلى أن قدرة الأداة على اختيار الهجوم المناسب لكل جهاز تزيد فرص النجاح وتقلل أثر الفشل. كما يرفع ذلك تكلفة الدفاع للمؤسسات التي تدير أجهزة متعددة.
هل ما زالت مجموعة استغلال آيفون تهدد الأجهزة اليوم؟
أي جهاز يعمل بإصدار iOS 17.2.1 أو أقدم قد يظل عرضة، بينما الإصدارات الأحدث لا تتأثر بهذه السلسلة. الخلاصة أن تحديث النظام وتفعيل وضع العزل يقللان بشكل كبير من خطر مجموعة استغلال آيفون، وهو إجراء عملي لحماية البيانات.
