حملة قرصنة ضخمة تستهدف مستخدمي آيفون في أوكرانيا والصين استخدمت أدوات من المحتمل أن تكون قد صممتها شركة L3Harris، المتعاقدة مع الجيش الأمريكي، وفقًا لتقارير TechCrunch. هذه الأدوات، التي كانت مخصصة لعملاء استخبارات غربيين، انتهى بها المطاف في يد مجموعات قرصنة مختلفة، بما في ذلك جواسيس الحكومة الروسية والجرائم الإلكترونية الصينية.
في الأسبوع الماضي، كشفت Google أنها اكتشفت خلال عام 2025 أن مجموعة أدوات قرصنة آيفون متطورة قد تم استخدامها في سلسلة من الهجمات العالمية. كانت مجموعة الأدوات، المسماة “كورونا” من قبل مطورها الأصلي، تتكون من 23 مكونًا مختلفًا استُخدمت لأول مرة “في عمليات مستهدفة للغاية” من قبل عميل حكومي غير مسمى لشركة مراقبة غير محددة. بعد ذلك، تم استخدامها من قبل جواسيس الحكومة الروسية ضد عدد محدود من الأوكرانيين وأخيرًا من قبل مجرمي الإنترنت الصينيين “في حملات واسعة النطاق” بهدف سرقة المال والعملات المشفرة.
قال الباحثون في شركة أمان الهاتف المحمول iVerify، التي حللت كورنا بشكل مستقل، إنهم يعتقدون أنه قد تم بناؤها في الأصل من قبل شركة قامت ببيعها للحكومة الأمريكية.
قال موظفان سابقان في مقاول الحكومة L3Harris لـ TechCrunch إن كورنا تم تطويرها على الأقل جزئيًا من قبل قسم التقنية المخصصة للاختراق والمراقبة في الشركة، Trenchant. كان لدى الموظفين السابقين كل منهما معرفة بأدوات قرصنة آيفون الخاصة بالشركة. وتحدث كلاهما بشرط عدم الكشف عن هويتهما لأنهما لم يكونا مخولين للحديث عن عملهما للشركة.
قال أحد الموظفين السابقين في L3Harris، الذي كان على دراية بأدوات قرصنة آيفون كجزء من عمله في Trenchant: “كورنا كان اسم داخلي بالتأكيد لمكون”.
“عند النظر إلى التفاصيل التقنية”، قال الشخص، مشيرًا إلى بعض الأدلة التي نشرتها Google، “كثير منها مألوف”.
اتصل بنا
هل لديك المزيد من المعلومات حول كورنا، أو أدوات اختراق ومراقبة الحكومة الأخرى؟ من جهاز غير متعلق بالعمل، يمكنك الاتصال بـ لورينزو فرانسيسكي-بيشيرا بشكل آمن عبر Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire @lorenzofb، أو عبر البريد الإلكتروني.
قال الموظف السابق إن مجموعة أدوات Trenchant الشاملة تحتوي على عدة مكونات مختلفة، بما في ذلك كورنا واستغلالات ذات صلة. وقد أكد موظف سابق آخر أن بعض التفاصيل المدرجة في مجموعة أدوات القرصنة المنشورة جاءت من Trenchant.
تبيع L3Harris أدوات الاختراق والمراقبة من Trenchant حصريًا للحكومة الأمريكية وحلفائها في ما يُعرف بتحالف Five Eyes الاستخباراتي، والذي يشمل أستراليا، كندا، نيوزيلندا، والمملكة المتحدة. نظرًا للعدد المحدود من العملاء لدى Trenchant، من الممكن أن تكون كورنا قد تم الاستحواذ عليها واستخدامها في الأصل من قبل إحدى وكالات الاستخبارات التابعة لهذه الحكومات قبل أن تقع في أيد غير مقصودة، على الرغم من أنه غير واضح كم من مجموعة أدوات كورنا المنشورة تم تطويرها بواسطة L3Harris Trenchant.
لم يرد المتحدث باسم L3Harris على طلب للتعليق.
كيف انتقلت كورنا من أيدي مقاول حكومي من Five Eyes إلى مجموعة اختراق روسية، ثم إلى عصابة جرائم إلكترونية صينية غير واضح.
لكن بعض الظروف تبدو مشابهة لقضية بيتر ويليامز، مدير عام سابق في Trenchant. من 2022 حتى استقالته في منتصف 2025، قام ويليامز ببيع ثمانية أدوات اختراق للشركة إلى Operation Zero، وهي شركة روسية تقدم ملايين الدولارات مقابل استغلالات من يوم الصفر، مما يعني الثغرات التي ليست معروفة لدى البائع المتضرر.
حُكم على ويليامز، المواطن الأسترالي البالغ من العمر 39 عامًا، بالسجن سبع سنوات الشهر الماضي، بعد أن اعترف بسرقة وبيع أدوات اختراق Trenchant الثمانية إلى Operation Zero مقابل 1.3 مليون دولار.
قالت الحكومة الأمريكية إن ويليامز، الذي استفاد من “الوصول الكامل” إلى شبكات Trenchant، “خان” الولايات المتحدة وحلفاءها. اتهمه المدعون بتسريب أدوات كان من الممكن أن تسمح لمن استخدمها بـ “الوصول المحتمل إلى ملايين من الحواسيب والأجهزة حول العالم”، مما يشير إلى أن الأدوات اعتمدت على الثغرات التي تؤثر على برامج مستخدمة على نطاق واسع مثل iOS.
تدعي Operation Zero، التي فرضت عليها الحكومة الأمريكية عقوبات الشهر الماضي، أنها تعمل حصريًا مع الحكومة الروسية والشركات المحلية. وقد زعمت وزارة الخزانة الأمريكية أن الوسيط الروسي قد باع أدوات ويليامز “المسروقة إلى مستخدم واحد غير مصرح له على الأقل”.
هذا يفسر كيف حصلت مجموعة التجسس الروسية، التي حددتها Google فقط على أنها UNC6353، على كورنا ونشرتها على مواقع أوكرانية مخترقة لتختراق مستخدمي آيفون معينين من موقع جغرافي محدد زاروا الموقع الضار دون وعي.
من الممكن أنه بمجرد أن حصلت Operation Zero على كورنا وباعت احتمالية إلى الحكومة الروسية، قام الوسيط بعد ذلك بإعادة بيع مجموعة الأدوات إلى شخص آخر، ربما وسيط آخر، أو دولة أخرى، أو حتى مباشرة إلى مجرمي الإنترنت. أبلغت وزارة الخزانة عن أن أحد أعضاء عصابة فيروس الفدية Trickbot عمل مع Operation Zero، مما يربط الوسيط بالهاكرز الدافعين ماليًا.
في هذه المرحلة، قد تكون كورنا قد انتقلت إلى أيدٍ أخرى حتى وصلت إلى قراصنة صينيين. وفقًا للمدعين العامين الأمريكيين، اعترف ويليامز بالكود الذي كتبه وباعه إلى Operation Zero باستخدامه لاحقًا من قبل وسيط كوري جنوبي.
عملية triangulation
كتب باحثو Google يوم الثلاثاء أن اثنين من استغلالات كورنا المحددة والثغرات الأساسية، المسماة Photon وGallium من قبل مطوريها الأصليين، تم استخدامها كاستغلالات من يوم الصفر في عملية triangulation، وهي حملة اختراق متطورة يُزعم أنها استُخدمت ضد مستخدمي آيفون الروس. تم الكشف عن عملية triangulation لأول مرة بواسطة كاسبرسكي في عام 2023.
قال روكي كول، المؤسس المشارك لشركة iVerify، لـ TechCrunch إن “أفضل تفسير بناءً على ما هو معروف حتى الآن” يشير إلى أن Trenchant والحكومة الأمريكية هما المطوران الأصليان والعملاء لكورنا. ومع ذلك، أضاف كول أنه لا يدعي هذا “بشكل قاطع”.
هذا التقييم، كما قال، يستند إلى ثلاثة عوامل. تتناسب جدول استخدام كورنا مع تسريبات ويليامز، وبنية ثلاث وحدات — Plasma وPhoton وGallium — الموجودة في كورنا تشبه بشكل كبير تلك الموجودة في عملية triangulation، وكورنا أعادت استخدام بعض الاستغلالات ذاتها الموجودة في تلك العملية، كما قال.
وفقًا لكول، “الأشخاص المقربون من المجتمع الدفاعي” يدعون أن Plasma استخدمت في عملية triangulation، “على الرغم من عدم وجود دليل عام على ذلك.” (عمل كول سابقًا في وكالة الأمن القومي الأمريكية.)
وفقًا لجوجل وiVerify، تم تصميم كورنا لاختراق نماذج آيفون التي تعمل بنظام iOS 13 حتى 17.2.1، الصادرة بين سبتمبر 2019 وديسمبر 2023. تتوافق هذه التواريخ مع جدول بعض تسريبات ويليامز، واكتشاف عملية triangulation.
أخبر أحد موظفي Trenchant السابقين TechCrunch أنه عندما تم الكشف عن triangulation لأول مرة في عام 2023، كان يعتقد موظفون آخرون في الشركة أن واحدة على الأقل من استغلالات يوم الصفر التي رصدت بواسطة كاسبرسكي “كانت من عندنا، ومن المحتمل أنها ‘أزيلت’ من المشروع الشامل الذي يتضمن كورنا.
علامة أخرى تشير إلى Trenchant — كما أشار الباحث الأمني كوستين رايو — هي استخدام أسماء الطيور لبعض من 23 أداة، مثل Cassowary وTerrorbird وBluebird وJacurutu وSparrow. في عام 2021، كشفت صحيفة واشنطن بوست أن Azimuth، إحدى شركتين تم الاستحواذ عليهما لاحقًا من قبل L3Harris ودمجهما في Trenchant، قد باعت أداة اختراق تسمى Condor لمكتب التحقيقات الفيدرالي في القضية المشهورة لكسر آيفون سان برناردينو.
بعد أن نشرت كاسبرسكي أبحاثها حول عملية triangulation، اتهمت خدمة الأمن الفيدرالي الروسي (FSB) وكالة الأمن القومي الأمريكية باختراق “آلاف” من أجهزة آيفون في روسيا، مستهدفة الدبلوماسيين بشكل خاص. وصرح متحدث باسم كاسبرسكي في ذلك الوقت بأن الشركة لم تكن لديها معلومات عن مزاعم الـ FSB. وأشار المتحدث إلى أن “مؤشرات الاختراق” — مما يعني أدلة على اختراق — التي حددها المركز الوطني الروسي للتنسيق لمكافحة الحوادث الحاسوبية (NCCCI) كانت هي نفس المؤشرات التي حددتها كاسبرسكي.
قال بوريس لارين، باحث أمني في كاسبرسكي، لـ TechCrunch في بريد إلكتروني إن “رغم أبحاثنا الواسعة، لم نتمكن من نسب عملية triangulation إلى أي مجموعة تهديدات مستمرة متقدمة معروفة أو شركة تطوير استغلالات.”
شرح لارين أن Google ربطت كورنا بعملية triangulation لأن كلاهما يستغل الثغرات النفسية المتطابقة — Photon وGallium.
“لايمكن أن يستند النسب فقط إلى حقيقة استغلال هذه الثغرات. جميع تفاصيل كلا الثغرتين كانت متاحة منذ زمن طويل للعامة”، وبالتالي يمكن لأي شخص أن يستفيد منها، أضاف، مشيرًا إلى أن تلك الثغرتين المشتركتين “مجرد قمة الجبل الجليدي”.
لم تتهم كاسبرسكي publicly الحكومة الأمريكية بكونها وراء عملية triangulation. من الغريب أن الشعار الذي أنشأته الشركة للحملة — شعار تفاح يتكون من عدة مثلثات — يذكرنا بشعار L3Harris. قد لا يكون ذلك مصادفة. سبق أن قالت كاسبرسكي إنها لن تنسب حملة قرصنة علنًا بينما تشير بشكل هادئ إلى أنها تعرف بالفعل من وراءها، أو من قدم الأدوات لها.
في عام 2014، أعلنت كاسبرسكي أنها قد قبضت على مجموعة اختراق حكومية متطورة وغامضة تعرف باسم “Careto” (الإسبانية لـ “القناع”). قالت الشركة فقط إن القراصنة يتحدثون الإسبانية. ولكن الرسم التوضيحي لقناع الذي استخدمته الشركة في تقريرها شمل الألوان الحمراء والصفراء لعلم إسبانيا، وقرون الثور، وخاتم الأنف، والكلاب.
كما كشفت TechCrunch العام الماضي أن باحثي كاسبرسكي قد استنتجوا في السر أنه “لا شك” كما قال أحدهم، أن Careto كانت تديرها الحكومة الإسبانية.
يوم الأربعاء، قال الصحفي الأمني باتريك غراي في حلقة من بودكاسته Risky Business إنه يعتقد – بناءً على “قطع صغيرة” هو واثق منها – أن ما سرقه ويليامز لـ Operation Zero كان مجموعة أدوات الاختراق المستخدمة في حملة triangulation.
لم ترد أبل، Google، كاسبرسكي، وOperation Zero على طلبات للتعليق.
اترك تعليقاً إلغاء الرد