Coruna és az Operation Triangulation kapcsolata
A Kaspersky elemzése a Coruna exploit framework és az Operation Triangulation közötti kapcsolatot vizsgálja, a korábban szigorúan állami használatú exploit-technológiák széles körben elterjedtek és kommoditizálódtak.
A Coruna egy rendkívül komplex iOS exploit keretrendszer, amely 23 sérülékenységet és több teljes támadási láncottartalmaz, lehetővé téve a Safari böngészőn keresztüli kompromittálást, majd sandbox escape-et, jogosultságnövelést és végül teljes eszköz feletti kontroll megszerzését.
A kutatás szerint a framework több ponton kapcsolódik az Operation Triangulation kampányhoz, például egyes exploitok (CVE-2023-32409, CVE-2023-32434) ugyanazokat a sérülékenységeket célozzák, amelyeket korábban zero-day-ként használtak ebben a hírszerzési műveletben. Ez azonban nem feltétlenül jelent közvetlen kód-újrafelhasználást, inkább azt mutatja, hogy a technikai tudás és exploit-logika újrahasznosítható.
A támadási modell tipikusan watering hole, a felhasználónak elég meglátogatnia egy kompromittált weboldalt, ahol a framework fingerprinting alapján kiválasztja a megfelelő exploit láncot, majd automatikusan végrehajtja azt. Ez zero-click jellegű kompromittálást tesz lehetővé iOS 13–17 közötti verziókon.
A legfontosabb fejlemény azonban nem technikai, hanem stratégiai. A Coruna életciklusa jól követhető, először megfigyelési célú környezetben, majd állami kiberkémkedésben, végül kiberbűnözői kampányokban jelent meg.
A magas szintű exploit képességek már nem maradnak zárt körben. A jelentés szerint egyre inkább kialakul egy second-hand zero-day piac, ahol ezek az eszközök különböző szereplők között terjednek.
