Il framework Coruna non è una raccolta improvvisata di exploit messi insieme alla bell’e meglio. È qualcosa di molto più strutturato, e soprattutto molto più inquietante. Il team di ricerca GReAT di Kaspersky ha completato un’analisi approfondita a livello di codice binario e il risultato è netto: Coruna rappresenta l’evoluzione diretta del framework utilizzato nella campagna di spionaggio nota come Operation Triangulation. Gli exploit del kernel presenti in entrambi gli strumenti sarebbero stati sviluppati dalla stessa mano. Un dettaglio che ribalta il quadro iniziale, quando la sola condivisione di vulnerabilità non bastava per tracciare un collegamento solido tra i due kit.
Entrando nel merito tecnico, uno dei cinque exploit del kernel contenuti in Coruna è una versione aggiornata dello stesso exploit che Kaspersky aveva già individuato nel 2023 durante le indagini su Operation Triangulation. Gli altri quattro, di cui due scritti dopo che la campagna Triangulation era diventata di dominio pubblico, poggiano sullo stesso identico framework. E le somiglianze non si fermano al kernel: si estendono ad altri componenti del kit, il che ha portato i ricercatori a una conclusione piuttosto chiara. Coruna non è un mosaico di pezzi presi qua e là dal web, ma un progetto in costante aggiornamento, che ha mantenuto una continuità evidente con il codice originale.
Supporto per processori Apple recenti e controlli su iOS 17
Il codice analizzato include il supporto per i processori Apple A17, M3, M3 Pro e M3 Max, oltre a riferimenti a versioni di iOS fino alla 17.2, tutte distribuite tra l’autunno e l’inverno del 2023. C’è anche un controllo specifico per iOS 16.5 beta 4, cioè esattamente la versione che Apple aveva rilasciato per correggere le falle segnalate da Kaspersky durante l’indagine su Triangulation. Un dettaglio che la dice lunga su quanto gli sviluppatori dietro Coruna stessero seguendo da vicino le mosse di Apple.
Boris Larin, Principal Security Researcher di Kaspersky GReAT, ha spiegato che quando Coruna era stata segnalata per la prima volta, le prove disponibili non permettevano di collegarne il codice a Triangulation in modo definitivo. Ora, con i file binari sotto gli occhi, il quadro è completamente diverso. L’inclusione di controlli per chip recenti come l’M3 e per le versioni più aggiornate di iOS dimostra che chi ha creato questo strumento non si è fermato. Quello che era nato come uno strumento di spionaggio di precisione viene ora impiegato in modo molto più indiscriminato.
Le vulnerabilità sono state corrette, ma il rischio resta
Operation Triangulation era emersa pubblicamente nel giugno del 2023 come campagna di tipo Advanced Persistent Threat rivolta ai dispositivi iOS. Kaspersky l’aveva scoperta monitorando il traffico sulla propria rete Wi-Fi aziendale, dopo che l’attore malevolo aveva preso di mira decine di dipendenti. Durante le indagini erano state identificate quattro vulnerabilità zero day che interessavano un’ampia gamma di prodotti Apple.
Le vulnerabilità sfruttate da Coruna sono state nel frattempo corrette da Apple, ma Kaspersky raccomanda con forza a tutti gli utenti iPhone di installare immediatamente gli ultimi aggiornamenti di iOS. I dispositivi non aggiornati restano esposti. Per proteggersi da attacchi mirati, i ricercatori suggeriscono di centralizzare il monitoraggio degli eventi sull’intera infrastruttura tramite soluzioni SIEM, aggiornare regolarmente sistemi operativi e applicazioni, garantire al team di sicurezza una visibilità approfondita sulle minacce attraverso servizi di threat intelligence e adottare soluzioni di protezione endpoint con funzionalità EDR, gestione delle patch e sicurezza cloud.
