Le groupe de renseignement sur les menaces de Google et la société de sécurité iVerify ont partagé des détails concernant Coruna, un kit d’exploitation qui exploite plusieurs vulnérabilités ciblant les iPhones fonctionnant sous des versions plus anciennes d’iOS.
Les détails techniques
Dans un article publié sur le blog Google Cloud, Coruna se présente comme un kit d’exploitation qui agit en enchaînant plusieurs vulnérabilités, avec un total de cinq chaînes d’exploit pour iOS et 23 vulnérabilités identifiées visant les iPhones non mis à jour, allant d’iOS 13 à iOS 17.2.1.
Ce kit fonctionne en accédant à un site malveillant qui utilise un JavaScript caché pour vérifier le modèle de l’appareil, la version du système et d’autres paramètres de sécurité. Cela permet alors à l’attaque de contourner les protections essentielles d’iOS, d’acquérir des privilèges élevés et d’installer des logiciels malveillants capables de collecter des données ou de télécharger des modules supplémentaires.
Fait intéressant, Google souligne que le kit vérifie si le mode Lockdown est activé et interrompt le processus si c’est le cas, tout comme si l’utilisateur navigue en mode privé.
Il est important de noter que ce kit d’exploitation s’attaque spécifiquement aux iPhones utilisant des versions plus anciennes d’iOS et est inefficace contre les dernières versions du système. Cela souligne l’importance de maintenir ses appareils à jour.
Origines et implications
Parallèlement à la publication de Google, iVerify a également publié un rapport sur Coruna, offrant un éclairage supplémentaire sur ses origines possibles. Selon l’analyse inversée d’iVerify, il semblerait que Coruna partage des bases communes avec des outils de piratage connus comme étant liés au gouvernement américain.
iVerify mentionne :
C’est la première exploitation massive observée de téléphones mobiles, y compris iOS, par un groupe criminel utilisant des outils probablement construits par un État-nation.
Bien que Coruna semble avoir des racines communes avec d’autres outils de piratage liés aux États-Unis, il semblerait qu’il ait été divulgué et utilisé dans des campagnes par des espions russes et des cybercriminels basés en Chine.
Des rapports précédents avaient montré que les logiciels espions avaient élargi leur cible au-delà des acteurs attendus de la société civile, tels que les journalistes et les dissidents, pour atteindre des cadres dans les secteurs technologiques et financiers, ainsi que des campagnes politiques.
Modes d’attaque
iVerify et Google précisent que le kit d’exploitation a été distribué via des attaques de type « watering hole » sur des sites compromettants, y compris de faux services de cryptomonnaie visant à attirer les victimes vers des pages malveillantes. Les modules de ce kit semblent motivés financièrement, car ils sont conçus pour extraire des données de portefeuille de cryptomonnaie et des phrases de récupération des appareils infectés.
Pour plus d’informations sur le fonctionnement approfondi de Coruna, il est recommandé de consulter le rapport complet du blog Google Cloud, ainsi que le rapport d’iVerify.
