تقرير: أداة اختراق آيفون أمريكية انتهت لدى قراصنة روس

كشفت منصة تك كرانش أن حملة اختراق واسعة استهدفت مستخدمي هواتف آيفون في أوكرانيا والصين استخدمت أدوات يُرجّح أنها طُوّرت في الأصل لدى شركة L3Harris، وهي متعاقد عسكري مع الحكومة الأمريكية.

وكانت هذه الأدوات مصممة أساساً لاستخدام أجهزة الاستخبارات الغربية، لكنها انتهت في أيدي مجموعات قرصنة مختلفة، بينها جهات مرتبطة بالحكومة الروسية ومجرمون إلكترونيون من الصين.

وكانت شركة غوغل قد أعلنت الأسبوع الماضي أنها اكتشفت خلال عام 2025 استخدام مجموعة أدوات متقدمة لاختراق هواتف آيفون في سلسلة هجمات عالمية.

وتُعرف هذه الأدوات باسم" كورونا" (Coruna)، وتتكون من 23 مكوّناً مختلفاً استُخدمت بدايةً في عمليات عالية الدقة لصالح جهة حكومية لم يتم الكشف عنها، عبر شركة تعمل في مجال تقنيات المراقبة.

وبعد ذلك استُخدمت الأدوات نفسها من قبل جواسيس تابعين للحكومة الروسية ضد عدد محدود من الأوكرانيين، قبل أن يستخدمها لاحقاً مجرمون إلكترونيون صينيون في حملات واسعة النطاق هدفها سرقة الأموال والعملات الرقمية.

وقال باحثون في شركة الأمن السيبراني للهواتف المحمولة iVerify، التي حللت الأدوات بشكل مستقل، إنهم يعتقدون أنها صُممت في الأصل لدى شركة باعتها لاحقاً للحكومة الأمريكية.

وأكد موظفان سابقان في شركة L3Harris لتك كرانش أن أداة كورونا طُورت جزئياً داخل قسم تقنيات الاختراق والمراقبة في الشركة، المعروف باسم Trenchant.

وكان الموظفان على معرفة بأدوات اختراق آيفون التي تطورها الشركة، لكنهما تحدثا بشرط عدم الكشف عن هويتهما لعدم حصولهما على إذن بالتصريح علناً.

وقال أحد الموظفين السابقين: " اسم كورونا كان بالتأكيد اسماً داخلياً لأحد المكونات داخل النظام.

وأضاف بعد مراجعة الأدلة التقنية التي نشرتها غوغل: " الكثير من التفاصيل مألوفة جداً.

وأوضح الموظف السابق أن منصة Trenchant تضم عدة أدوات اختراق مختلفة، من بينها كورونا وأدوات استغلال أخرى مرتبطة بها.

كما أكد الموظف الثاني أن بعض تفاصيل مجموعة أدوات الاختراق المنشورة تعود بالفعل إلى تقنيات طورتها الشركة.

وتبيع شركة L3Harris أدوات الاختراق والمراقبة التابعة لـTrenchant حصراً للحكومة الأمريكية وحلفائها ضمن تحالف" العيون الخمس" الاستخباراتي، الذي يضم الولايات المتحدة وأستراليا وكندا ونيوزيلندا والمملكة المتحدة.

وبسبب العدد المحدود من العملاء، يُرجح أن أداة كورونا حصلت عليها في البداية إحدى وكالات الاستخبارات التابعة لهذه الدول قبل أن تصل لاحقاً إلى جهات غير مقصودة.

لكن لا يزال من غير الواضح مقدار ما طورته الشركة فعلياً من المكونات التي ظهرت لاحقاً ضمن مجموعة أدوات كورونا.

ولم ترد شركة L3Harris على طلب للتعليق.

انتقال الأداة بين جهات مختلفة.

لا يزال من غير الواضح كيف انتقلت أداة كورونا من متعاقد حكومي مرتبط بتحالف" العيون الخمس" إلى مجموعة قرصنة روسية، ثم إلى مجرمين إلكترونيين في الصين.

لكن بعض الظروف تبدو مشابهة لقضية بيتر ويليامز، المدير العام السابق في قسم Trenchant.

فمنذ عام 2022 وحتى استقالته في منتصف 2025، باع ويليامز ثماني أدوات اختراق تابعة للشركة إلى شركة روسية تُعرف باسم Operation Zero، وهي شركة تعرض ملايين الدولارات مقابل ثغرات أمنية غير معروفة في البرمجيات.

وفي الشهر الماضي حُكم على ويليامز، وهو مواطن أسترالي يبلغ 39 عاماً، بالسجن سبع سنوات بعد اعترافه بسرقة وبيع تلك الأدوات مقابل 1.

3 مليون دولار.

وقالت الحكومة الأمريكية إن ويليامز استغل امتلاكه وصولاً كاملاً إلى شبكات الشركة وخان الولايات المتحدة وحلفاءها.

واتهمه المدعون بتسريب أدوات كان يمكن أن تسمح لمن يستخدمها باختراق ملايين الأجهزة والحواسيب حول العالم، مشيرين إلى أن تلك الأدوات اعتمدت على ثغرات في برامج واسعة الاستخدام مثل نظام iOS.

وتقول شركة Operation Zero، التي فرضت الولايات المتحدة عقوبات عليها الشهر الماضي، إنها تعمل حصراً مع الحكومة الروسية وشركات محلية.

كما ذكرت وزارة الخزانة الأمريكية أن الوسيط الروسي باع أدوات ويليامز المسروقة لمستخدم واحد على الأقل غير مصرح له.

وقد يفسر ذلك كيف حصلت مجموعة تجسس روسية، تعرفها غوغل باسم UNC6353، على أداة كورونا واستخدمتها عبر مواقع إلكترونية أوكرانية مخترقة، بحيث تُصاب هواتف آيفون الخاصة بمستخدمين في موقع جغرافي محدد عند زيارتهم الموقع المصاب.

ومن المحتمل أيضاً أن الوسيط أعاد بيع الأداة لجهات أخرى، سواء لدولة أخرى أو وسيط إضافي أو حتى مجرمين إلكترونيين مباشرة.

كما ذكرت وزارة الخزانة الأمريكية أن أحد أفراد عصابة Trickbot للبرمجيات الخبيثة عمل مع Operation Zero، ما يربط الوسيط بجهات قرصنة مالية.

وبهذه الطريقة قد تكون أداة كورونا انتقلت عبر عدة جهات قبل أن تصل في النهاية إلى قراصنة صينيين.

صلة محتملة بحملة اختراق سابقة.

أشار باحثو غوغل إلى أن ثغرتين ضمن أداة كورونا، تُعرفان باسم Photon و Gallium، استُخدمتا أيضاً في حملة اختراق معقدة تُعرف باسم عملية Triangulation.

وكانت شركة كاسبرسكي قد كشفت هذه الحملة لأول مرة عام 2023، حيث استهدفت مستخدمي آيفون في روسيا.

وقال روكي كول، أحد مؤسسي شركة iVerify، إن أفضل تفسير متاح حالياً يشير إلى أن شركة Trenchant والحكومة الأمريكية كانتا المطورين الأصليين لأداة كورونا، لكنه أضاف أنه لا يمكن تأكيد ذلك بشكل قاطع.

ويستند هذا التقييم إلى عدة عوامل، منها تطابق توقيت استخدام الأداة مع تسريبات ويليامز، إضافة إلى تشابه بنية بعض المكونات مثل Plasma وPhoton وGallium مع الأدوات المستخدمة في عملية Triangulation.

وبحسب غوغل وiVerify، صُممت أداة كورونا لاختراق هواتف آيفون التي تعمل بنظام iOS من الإصدار 13 حتى 17.

1، وهي الإصدارات التي صدرت بين سبتمبر 2019 وديسمبر 2023.

وقال أحد الموظفين السابقين في Trenchant إن بعض العاملين في الشركة اعتقدوا عند الكشف عن عملية Triangulation عام 2023 أن إحدى الثغرات التي اكتشفتها كاسبرسكي قد تكون في الأصل من تطويرهم.

ومن المؤشرات الأخرى التي قد تربط الأداة بالشركة استخدام أسماء طيور لبعض الأدوات مثل Cassowary وBluebird وSparrow، وهو نمط تسمية استخدم سابقاً في أدوات اختراق طورتها شركات استحوذت عليها لاحقاً L3Harris.

الجهة المسؤولة لا تزال غير مؤكدة.

بعد نشر كاسبرسكي لأبحاثها حول عملية Triangulation، اتهم جهاز الأمن الفيدرالي الروسي وكالة الأمن القومي الأمريكية باختراق آلاف أجهزة آيفون في روسيا.

لكن متحدثاً باسم كاسبرسكي قال آنذاك إن الشركة لا تمتلك معلومات تؤكد هذه الادعاءات.

وأوضح الباحث الأمني بوريس لارين من كاسبرسكي أن الشركة، رغم أبحاثها ا نسب العملية إلى جهة محددة سواء كانت مجموعة اختراق متقدمة أو شركة تطوير أدوات استغلال.

وأشار إلى أن غوغل ربطت كورونا بعملية Triangulation بسبب استغلالهما الثغرتين نفسهما، لكنه شدد على أن مجرد استخدام الثغرة لا يكفي لتحديد الجهة المسؤولة، لأن تفاصيلها أصبحت متاحة للعامة منذ فترة.

كما لم تتهم كاسبرسكي علناً الحكومة الأمريكية بالوقوف خلف العملية.