EN
حذر باحثو الأمن السيبراني في شركة جوجل Google، مستخدمي هواتف آيفون من ضرورة تحديث أجهزتهم إلى أحدث إصدار من نظام التشغيل iOS على الفور، بعد اكتشاف فريق (GTIG) لحزمة استغلال خطيرة تستهدف إصدارات قديمة من iOS.
ويأتي هذا التحذير في ظل تصاعد التوترات الجيوسياسية، بما في ذلك النزاع المستمر في الشرق الأوسط، مما يزيد المخاوف من استخدام أدوات إلكترونية في عمليات مراقبة أو تجسس موجهة.
ما اكتشفه باحثو جوجل؟
كشف تقرير فريق GTIG أن حزمة الاستغلال المسماة Coruna تستهدف أجهزة آيفون التي تعمل بالإصدارات من iOS 13 وحتى iOS 17.2.1، وتحتوي على خمس سلاسل استغلال كاملة و23 ثغرة منفصلة تسمح للمهاجمين بالتحكم في الأجهزة وسرقة البيانات الحساسة.
تعتمد الحزمة على مزيج من ثغرات متصفح الويب ومستوى النظام للوصول إلى الجهاز، وغاليا يبدأ الهجوم عند زيارة المستخدم لموقع ويب خبيث أو مخترق، حيث يقوم برنامج خفي بتحديد نوع الجهاز وإصدار iOS، ثم يختار الثغرة المناسبة للهجوم عليه.
ذكرت جوجل أن إحدى الثغرات المستخدمة (CVE-2024-23222) كانت ثغرة صفرية (Zero-Day) قبل أن تصلحها شركة آبل في iOS 17.3.
وأضاف الباحثون أن حزمة Coruna تم تداولها بين عدة فاعلين مختلفين على مر الوقت، بدءا من عملاء شركات المراقبة التجارية في فبراير 2025، وصولا لهجمات على مستخدمين أوكرانيين مرتبطة بمجموعة تجسس روسية مشتبه بها تُتعرف باسم UNC6353، ثم لاحقا حملات نفذها فاعل مالي من الصين تحت اسم UNC6691 باستخدام مواقع مالية وهمية لجذب مستخدمي آيفون.
كيف استغل المخترقون الثغرة لسرقة البيانات المالية
وفقا لتقرير GTIG، عند نجاح سلسلة الاستغلال، كان يتم نشر برنامج خبيث يسمى PlasmaLoader يسمح للمهاجمين بجمع المعلومات الحساسة، بما في ذلك البيانات المالية ومحافظ العملات الرقمية المخزنة على الجهاز.
كما تمكن البرنامج الخبيث من البحث داخل الملاحظات والصور والملفات النصية، عن كلمات مفتاحية مثل “الحساب البنكي”، ثم نقل البيانات إلى خوادم يسيطر عليها المهاجم.
وتضمن أيضا البرنامج الضار وحدات خاصة لاستخراج البيانات التي تستهدفت عدة تطبيقات لمحافظ العملات الرقمية.
التوصيات الأمنية
أكدت جوجل أن حزمة Coruna لا تعمل على أحدث إصدار من iOS، ما يجعل تحديث النظام من أبسط الطرق لحماية المستخدمين.
وقالت: “حزمة استغلال Coruna غير فعالة ضد أحدث إصدار من iOS، وينصح مستخدمو آيفون بشدة بتحديث أجهزتهم فورا”.
للمستخدمين الذين لا يمكنهم التحديث فورا، توصي جوجل بتمكين وضع القفل، وهي ميزة أمان تقلل من التعرض للهجمات الموجهة.
وأوضحت الشركة أن الاكتشاف يسلط الضوء على كيفية تداول أدوات التجسس السيبراني المتقدمة بين فاعلين مختلفين، بما في ذلك شركات المراقبة، مجموعات التجسس، والمهاجمين الماليين، مشيرة إلى أن مشاركة الأبحاث تهدف إلى رفع الوعي وتشجيع ممارسات أمان أقوى في الصناعة.
