Prima di procedere
Un sofisticato meccanismo di attacco, denominato Coruna e originariamente sviluppato da un contractor americano per le autorità degli Stati Uniti, è finito nelle mani di hacker che lo stanno utilizzando per colpire Apple iPhone con motivazioni politiche e finanziarie. La scoperta è stata fatta da ricercatori di cybersecurity di Google, gettando un'ombra inquietante sul mondo della sicurezza mobile.
L'attacco Coruna si attiva quando una vittima visita un sito web compromesso. L'intera architettura rappresenta un insieme di strumenti ad alta tecnologia per violare gli iPhone, comprendendo ben cinque metodi di hacking che aggirano tutte le difese del dispositivo. L'installazione di malware avviene in modo silente e automatico, semplicemente visitando una pagina web contenente il codice di exploit. Complessivamente, Coruna sfrutta 23 vulnerabilità di iOS. Questa combinazione di elementi suggerisce che dietro ci sia un gruppo di hacker con ingenti risorse, potenzialmente supportato da uno stato nazionale.
Alcune componenti di Coruna, secondo esperti di iVerify e Google, risalgono alla campagna hacker Operation Triangulation, scoperta nel 2023 da Kaspersky Lab. Una delle ipotesi è che lo schema sia stato sviluppato o acquisito dalle autorità americane. Il codice di Coruna è "molto complesso, con uno sviluppo costato milioni di dollari, e presenta caratteristiche tipiche di altri moduli attribuiti pubblicamente al governo degli Stati Uniti", hanno sottolineato da iVerify. L'incidente solleva serie preoccupazioni, poiché uno strumento così potente è sfuggito al controllo ed è stato acquisito da terzi: cybercriminali supportati da altri governi e hacker mossi da guadagno personale. Un evento simile si è verificato nel 2017, quando l'EternalBlue, un tool di hacking della National Security Agency (NSA) per sistemi Windows, fu rubato e utilizzato per creare i pericolosi virus WannaCry e NotPetya.
Nelle versioni più recenti di iOS 26, Apple ha corretto le vulnerabilità sfruttate da Coruna. I metodi di attacco sono stati confermati per dispositivi con versioni di iOS dalla 13 alla 17.2.1. Gli exploit vengono eseguiti sul framework Apple Webkit, rendendo vulnerabili i dispositivi con versioni obsolete del browser Safari. Non sono stati confermati attacchi riusciti su Chrome o altri browser derivati. Durante l'esecuzione del codice Coruna, viene verificato se è attiva la modalità di sicurezza Lockdown Mode sull'iPhone; in caso affermativo, l'attacco viene interrotto.
Nonostante queste limitazioni, decine di migliaia di smartphone sono stati infettati. Con il supporto di un partner, gli esperti di iVerify hanno stimato il numero di accessi a uno dei server che controllano la versione commerciale di Coruna, focalizzata su utenti di lingua cinese. Da questi dati, risultano compromessi circa 42.000 dispositivi. È stato impossibile stimare il numero di vittime di altre campagne Coruna. Gli esperti hanno analizzato la versione originale del codice di attacco e una versione modificata, mirata al furto di fondi da portafogli di criptovalute, foto e email. Il codice exploit originale è stato giudicato di altissimo livello, mentre i moduli per il furto di dati sono stati definiti "scritti male".
Una teoria suggerisce che la fuga di notizie provenga da intermediari che vendono exploit zero-day, disposti a pagare decine di milioni di dollari per schemi di hacking funzionanti. Questi schemi vengono poi rivenduti per attività di spionaggio, crimini informatici o cyberwarfare. Gli esperti avvertono che questi intermediari sono spesso senza scrupoli e pronti a vendere le informazioni al miglior offerente, senza accordi di esclusiva, coinvolgendo diversi acquirenti nella stessa transazione.
La scoperta di Coruna evidenzia la crescente minaccia di strumenti di hacking sofisticati che, una volta trapelati, possono essere utilizzati per scopi malevoli su larga scala. È fondamentale che gli utenti di dispositivi Apple mantengano i propri sistemi operativi aggiornati all'ultima versione e attivino le misure di sicurezza disponibili, come la Lockdown Mode, per proteggersi da potenziali attacchi. Allo stesso tempo, è necessario un maggiore controllo e regolamentazione del mercato degli exploit zero-day per evitare che tali strumenti finiscano nelle mani sbagliate.
