EN
كشفت تقارير تقنية حديثة أن حملة اختراق واسعة استهدفت مستخدمي هواتف آيفون في أوكرانيا والصين استخدمت أدوات متقدمة يعتقد أنها طورت في الأصل بواسطة شركة الدفاع الأمريكية L3Harris Technologies، قبل أن تقع لاحقا في أيدي مجموعات قرصنة مختلفة، من بينها جهات مرتبطة بالحكومة الروسية ومجرمون إلكترونيون في الصين.
وكانت شركة جوجل قد أعلنت خلال الأسبوع الماضي، أنها رصدت خلال عام 2025 استخدام مجموعة متطورة من أدوات اختراق هواتف آيفون في هجمات عالمية.
وتعرف هذه الحزمة باسم “Coruna”، وتتكون من 23 أداة أو مكونا تقنيا، استخدمت في البداية في عمليات تجسس دقيقة لصالح جهة حكومية غير محددة عبر شركة تعمل في مجال تقنيات المراقبة.
وبحسب التقرير، استخدمت الأدوات لاحقا من قبل جواسيس روس لاستهداف عدد محدود من المستخدمين الأوكرانيين، قبل أن تنتقل إلى مجرمين إلكترونيين صينيين استخدموها في هجمات واسعة بهدف سرقة الأموال والعملات الرقمية.
ارتباط بالأدوات الأمريكية
باحثون في شركة الأمن السيبراني iVerify، التي أجرت تحليلا مستقلا للأداة، رجحوا أن تكون قد طورت في الأصل من قبل شركة باعتها للحكومة الأمريكية.
كما أفاد موظفان سابقان في شركة L3Harris Technologies لموقع “تيك كرانش”، بأن أداة Coruna طورت جزئيا داخل قسم تقنيات الاختراق والمراقبة التابع للشركة والمعروف باسم Trenchant.
وقال أحد الموظفين السابقين إن اسم Coruna كان بالفعل اسما داخليا لأحد مكونات النظام، مشيرا إلى أن التفاصيل التقنية التي كشفتها شركة جوجل بدت مألوفة للغاية بالنسبة له.
وتبيع L3Harris أدوات الاختراق الخاصة بوحدة Trenchant حصريا للحكومة الأمريكية وحلفائها في تحالف الاستخبارات المعروف باسم Five Eyes، والذي يضم الولايات المتحدة وأستراليا وكندا ونيوزيلندا والمملكة المتحدة.
كيف وصلت الأدوات إلى القراصنة؟
لا تزال الطريقة التي انتقلت بها هذه الأدوات من متعاقد حكومي إلى جهات قرصنة غير واضحة، لكن بعض الملابسات تشير إلى قضية الموظف السابق في الشركة بيتر ويليامز.
فبين عامي 2022 و2025، قام ويليامز ببيع ثماني أدوات اختراق تابعة للشركة إلى شركة روسية تدعى Operation Zero، وهي شركة معروفة بدفع ملايين الدولارات مقابل ثغرات أمنية غير مكتشفة.
وفي الشهر الماضي، حكمت محكمة بسجن ويليامز سبع سنوات بعد اعترافه بسرقة هذه الأدوات وبيعها مقابل نحو 1.3 مليون دولار.
وذكرت الحكومة الأمريكية أنه استغل صلاحياته الكاملة داخل شبكة الشركة للوصول إلى الأدوات وتسريبها، ما قد يتيح للمستخدمين اختراق ملايين الأجهزة حول العالم.
ووفقا لوزارة الخزانة الأمريكية، فإن شركة Operation Zero – التي فرضت عليها عقوبات مؤخرا – باعت بعض هذه الأدوات لاحقا لمستخدمين غير مصرح لهم، وهو ما قد يفسر وصولها إلى مجموعة تجسس روسية تعرف باسم UNC6353.
وقد استخدمت هذه المجموعة الأداة لاختراق مواقع أوكرانية مخترقة، بحيث يتم استهداف مستخدمي آيفون الذين يزورون هذه المواقع من مواقع جغرافية محددة.
من التجسس إلى الجريمة الإلكترونية
ويرجح الباحثون أن الأداة انتقلت لاحقا إلى وسطاء آخرين أو جهات مختلفة، قبل أن تصل في النهاية إلى مجموعات قرصنة صينية استخدمتها في حملات واسعة لسرقة الأموال والعملات الرقمية.
وتشير تحليلات تقنية إلى أن حزمة Coruna كانت قادرة على اختراق هواتف آيفون التي تعمل بإصدارات نظام iOS من iOS 13 وحتى iOS 17.2.1، وهي إصدارات صدرت بين عامي 2019 و2023.
ارتباط بعملية اختراق شهيرة
وربط باحثون في Google بين بعض أدوات Coruna وهجوم سيبراني معقد عرف باسم Operation Triangulation، والذي كشفت عنه شركة “كاسبرسكي” عام 2023 بعد استهداف مستخدمي آيفون في روسيا.
ومع ذلك، أكد باحثو كاسبرسكي أنهم لم يتمكنوا من نسب الهجوم بشكل قاطع إلى جهة محددة، مشيرين إلى أن استغلال الثغرات الأمنية المستخدمة في الهجوم أصبح معروفا علنا، ما يعني أن أي جهة قد تستفيد منها.
في المقابل، يعتقد بعض الخبراء في مجال الأمن السيبراني أن الأدلة التقنية المتوافرة تشير إلى أن أدوات Coruna ربما كانت جزءا من مشروع أكبر لتطوير أدوات اختراق متقدمة قبل أن تتسرب إلى جهات متعددة حول العالم.
