كورونا، أداة اختراق أجهزة آيفون الخطيرة التي خرجت عن السيطرة

  • كورونا عبارة عن مجموعة أدوات استغلال متقدمة لأجهزة iPhone تقوم بربط ما يصل إلى 23 ثغرة أمنية بين نظامي التشغيل iOS 13.0 و iOS 17.2.1.
  • كان من الممكن أن تتحول الأداة من بيئات التجسس الحكومية إلى حملات جرائم إلكترونية ضخمة تركز على المستخدمين الأوكرانيين والصينيين.
  • يشير الباحثون إلى وجود روابط محتملة مع أطر الاستغلال التي تستخدمها وكالات الاستخبارات الغربية.
  • قامت شركة آبل بإصلاح الأخطاء في الإصدارات الأخيرة من نظام التشغيل iOS، لذا فإن تحديث النظام واستخدام وضع الإغلاق أمر أساسي للمستخدمين في إسبانيا وأوروبا.
Alberto Navarro

13 دقيقة

أداة اختراق أجهزة آيفون كورونا

انقطاع أداة جديدة لاختراق أجهزة آيفون تسمى كورونا أثار هذا الأمر مخاوف جدية في قطاع الأمن السيبراني. فما بدا في البداية وكأنه ترسانة مخصصة لعمليات انتقائية للغاية، انتهى به الأمر إلى استخدامه في حملات أوسع نطاقاً ذات دوافع اقتصادية بحتةمما يؤثر على المستخدمين في مناطق مختلفة، بما في ذلك البيئة الأوروبية، مثل اختراق ضخم لتطبيق سبوتيفاي.

وفقًا للتحليلات التي نشرتها مجموعة جوجل للاستخبارات الأمنية (GTIG) والشركة المتخصصة iVerifyكورونا ليست مجرد ثغرة أمنية معزولة، بل هي مجموعة أدوات استغلال متكاملة وقابلة للتخصيص، قادرة على ربط العديد من ثغرات نظام iOS للسيطرة على الجهاز بمجرد تحميل موقع ويب خبيث. هذا التطور، من التجسس الحكومي إلى الجريمة المنظمة، يعيد فتح النقاش حول ماذا يحدث عندما تفلت ما يسمى بـ "الأسلحة السيبرانية" من الدوائر الخاضعة للتحكم؟.

ما هو فيروس كورونا، وما هي أجهزة الآيفون التي يتأثر بها؟

مجموعة أدوات استغلال فيروس كورونا لأجهزة آيفون

وفقًا للوثائق التي نشرتها مجموعة GTIG، كورونا عبارة عن مجموعة أدوات استغلال مصممة خصيصًا لمهاجمة أجهزة iPhone التي تعمل بنظام iOS بإصدارات تتراوح بين 13.0 و 17.2.1.هذا ليس فشلاً معزولاً، بل هو بالأحرى مجموعة من المكونات القادرة على التضافر للتغلب على مختلف وسائل الحماية في نظام التشغيل.

يصف الباحثون خمس سلاسل هجوم كاملة وما مجموعه 23 ثغرة أمنية مختلفة مُدمجة في الأداة. جزء كبير من هذه الهجمات موجه ضد بكت، وهو المحرك الذي يستخدمه متصفح سفاري والمتصفحات الأخرى على أجهزة آيفون، والذي يسمح باختراق الهاتف ببساطة عن طريق زيارة موقع ويب تم التلاعب به دون الحاجة إلى تنزيلات أو تفاعل إضافي.

إحدى الخصائص التي تثير قلق الخبراء هي قدرة كورونيا على الأداء العدوى الصامتة باستخدام تقنيات "بئر الماء"يتضمن هذا النهج إدخال رمز خبيث في الصفحات التي يزورها الضحايا بانتظام، بحيث يحدث الاختراق بشكل سري ويصعب على المستخدم العادي اكتشافه.

عند تنفيذ سلسلة الثغرات الأمنية بنجاح، تصبح المجموعة قادرة على تثبيت برامج التجسس، ونشر أنواع مختلفة من البرامج الضارة، والتجسس على البيانات الحساسة المخزنة على جهاز iPhone أو سرقتها.تشمل الأهداف المحتملة الرسائل والموقع الجغرافي. الوصول إلى بيانات الاعتمادالملفات الشخصية وحتى المعلومات المستخدمة لإدارة الخدمات المالية أو العملات المشفرة.

على الرغم من أن نطاقها التاريخي يمتد من نظام التشغيل iOS 13.0 إلى نظام التشغيل iOS 17.2.1، لن تكون أحدث إصدارات نظام تشغيل أبل عرضة لهذه المجموعة المحددة من الثغرات الأمنية.وفقًا للنتائج التي نشرتها جوجل و iVerify، فإن عدد الأجهزة القديمة لا يزال يشكل خطرًا، خاصة في المناطق التي تشهد تركيزًا عاليًا لأجهزة iPhone المستخدمة يوميًا.

من التجسس الانتقائي إلى حملات الجرائم الإلكترونية الضخمة

يُظهر الطريق عبر كورونيا بوضوح كيف قد ينتهي المطاف بأداة مصممة لعمليات عالية المستوى للغاية إلى الخروج عن السيطرةتعود أولى آثار النشاط التي وثقتها مجموعة استخبارات التهديدات التابعة لشركة جوجل إلى عام 2025، عندما تم اكتشاف استخدام أجزاء من المجموعة فيما وصفوه بـ عملية محدودة للغاية مرتبطة بمزود خدمات المراقبة الرقمية أنه سيعمل لصالح جهة حكومية ما.

بمرور الوقت، ظهرت نفس التقنيات في هجمات تستهدف المستخدمين الأوكرانيينفي حملة نُسبت إلى المجموعة الروسية UNC6353، قام المهاجمون بتضمين رمز الاستغلال في صفحات الويب الأوكرانية، مستغلين سياق الصراع وسعوا إلى اختراق الأجهزة ذات الأهمية الاستراتيجية.

وبعد ذلك بوقت قصير، حدد المحققون نسخة أكثر تطوراً من الأدوات في أيدي جهة فاعلة ذات دوافع اقتصادية تعمل انطلاقاً من الصين، والتي تم تحديدها باسم UNC6691. في تلك المرحلة، توقف الغرض الرئيسي عن كونه المراقبة السياسية وبدأ التركيز على سرقة الأصول الرقمية، وخاصة العملات المشفرة، مستفيدين من شعبية هذه الخدمات بين فئات معينة من المستخدمين.

في الحملات المرتبطة بهذه المجموعة الصينية، اعتمد العملاء من كورونا على مواقع العملات المشفرة ومنصات المقامرة باللغة الصينية لجذب الضحايا. بمجرد إصابة الأجهزة، أضافت البرامج الضارة وحدات متخصصة في تتبع البيانات واستخراجها. عبارات الاسترداد، وبيانات تسجيل الدخول، وغيرها من البيانات المرتبطة بمحافظ العملات المشفرة والخدمات المالية.

تشير تقديرات تحليل iVerify إلى أن ربما يكون ما لا يقل عن 42.000 ألف جهاز آيفون قد تعرض للاختراق في هذه الموجة الأخيرةيُعطي هذا فكرة عن الانتقال من العمليات السرية إلى الحملات واسعة النطاق. وتُوضح حالة لا كورونيا كيف لم تعد عمليات الاختراق رفيعة المستوى حكراً على وكالات الاستخبارات عندما تبدأ في المشاركة أو إعادة البيع أو التسريب.مما يضاعف تأثيره على المستخدمين العاديين.

كيف تعمل كورونا تقنياً على أجهزة آيفون

على المستوى التقني، تقدم كورونا نفسها على النحو التالي: نظام معياري، مصمم للتكيف مع الأهداف والبيئات المختلفةيمكن للمشغلين الجمع بين مكونات مختلفة حسب نوع الهجوم الذي يرغبون في تنفيذه: المراقبة المطولة، وسرقة المعلومات المالية، والحصول على الوصول الأولي للعمليات اللاحقة، من بين سيناريوهات أخرى.

تبدأ العملية عادةً عندما يقوم المستخدم يدخل إلى صفحة تم اختراقها باستخدام برامج استغلالية.ومن ثم، تستغل هذه المجموعة الثغرات الأمنية في WebKit ومكونات iOS الأخرى لتنفيذ الحلقة الأولى في سلسلة الهجمات. تفتح هذه الخطوة الأولية الباب أمام ثغرات أخرى تُؤدي تدريجياً إلى رفع مستوى الصلاحيات داخل النظام.

بمجرد حصولهم على الصلاحيات الكافية، يصبح بإمكان المهاجمين القيام بما يلي: تثبيت برامج التجسس، وتسجيل ضغطات المفاتيح، واستخراج المستندات، أو اعتراض الاتصالاتفي المتغيرات التي تستخدمها المجموعات لأغراض اقتصادية، لوحظ اهتمام خاص بمراقبة التطبيقات المالية، ومديري محافظ العملات المشفرة، وخدمات الصيرفة عبر الهاتف المحمول.

وتشير التحليلات أيضاً إلى أن يتضمن تطبيق كورونا فحوصات للكشف عما إذا كان وضع القفل أو وضع العزل الخاص بشركة آبل مُفعّلاً في جهاز آيفونإذا تم تحديد أن ميزة الحماية المتقدمة هذه قيد الاستخدام - وهو أمر شائع بين الصحفيين والناشطين وموظفي الحكومة أو المديرين التنفيذيين - فقد تختار المجموعة عدم تشغيل العدوى لتقليل خطر اكتشافها وتحليلها من قبل الخبراء.

على الرغم من مستوى التطور، يؤكد الباحثون أن إن الفعالية الفعلية لهذه المجموعة محدودة بالتحديثات التي تقوم شركة آبل بطرحها.قامت الشركة بتصحيح جميع الثغرات الأمنية التي استغلتها شركة كورونا، بحيث لن تكون أحدث إصدارات نظام التشغيل iOS عرضة لسلاسل الهجمات المحددة هذه.تكمن المشكلة، كما هو الحال في كثير من الأحيان، في تلك الأجهزة التي لم يتم تحديثها بعد.

روابط محتملة بأطر الاستغلال التي تستخدمها وكالة الأمن القومي

إحدى أكثر القضايا حساسية في هذه القضية تتعلق بـ الأصل المحتمل لفيروس كورونا وأوجه تشابهه مع أدوات الاستخبارات الحكوميةلقد توخى جوجل الحذر في تقاريره العامة وتجنب الإشارة مباشرة إلى أي دولة، لكن شركة iVerify ذهبت خطوة أبعد في تقييماتها الفنية.

بعد إجراء هندسة عكسية لنسخة معدلة من عملة كورونا المستخدمة في الحملات التي تركز على العملات المشفرة، والمعروفة باسم كريبتو ووترز، رصد محللو iVerify أوجه تشابه مع أطر عمل كانت مرتبطة سابقًا بوكالة الأمن القومي الأمريكية (NSA).ستتراوح أوجه التشابه هذه من أنماط البرمجة إلى الطريقة التي يتم بها ربط الثغرات الأمنية المختلفة معًا.

أشار روكي كول، المؤسس المشارك لشركة iVerify، إلى أن مستوى التعقيد التقني وتكلفة التطوير المقدرة تشير هذه النتائج إلى كيان يمتلك موارد تفوق بكثير موارد أي جماعة إجرامية نموذجية. علاوة على ذلك، يُظهر الكود الذي تم تحليله سمات توحي بأن كان من المفترض أن يكتبه مبرمجون ناطقون باللغة الإنجليزيةيتوافق هذا مع أطر أخرى نُسبت في الماضي إلى عمليات الاستخبارات الغربية.

وخلال التحليل، تم تحديد ما يلي أيضاً: أوجه التشابه بين أجزاء من كورونا والمكونات المستخدمة في ما يسمى بعملية التثليثاستهدفت حملةٌ تم اكتشافها عام 2023 أجهزة iOS تابعة لموظفي شركة كاسبرسكي للأمن السيبراني. في ذلك الوقت، اتهمت الحكومة الروسية علنًا وكالة الأمن القومي الأمريكية بالوقوف وراء الهجمات، على الرغم من أن واشنطن لم تؤكد أو تنفِ هذه الاتهامات.

ومع ذلك، يشير الخبراء إلى أن يُعد تحديد المسؤولية في مجال الأمن السيبراني أمراً بالغ التعقيد.في غياب أدلة قاطعة، ينبغي التعامل مع هذه الروابط بحذر. لكن ما يبدو واضحاً هو أن تطوير ترسانة أسلحة مثل تلك الموجودة في كورونا كان سيتطلب استثمار بملايين الدولارات وفرق متخصصة تعمل لسنوات، وهو أمر يتناسب بشكل أفضل مع صورة جهة حكومية أكثر من صورة مجموعة مرتجلة.

خطر تسرب الأسلحة السيبرانية إلى السوق السوداء

بغض النظر عمن كان وراء هذا التطور في البداية، فإن قضية كورونا تعيد إشعال مخاوف متكررة في أوساط المجتمع الأمني: احتمال أن تنتهي الأدوات المصممة للتجسس الحكومي بالانتشار بحريةعندما يحدث ذلك، تتوقف هذه المشاكل عن كونها مشكلة تقتصر على الصراعات الجيوسياسية وتبدأ في التأثير على الشركات والإدارات ومواطني العديد من البلدان.

إحدى السوابق التي يتم ذكرها كثيراً هي EternalBlue، وهي ثغرة أمنية طورتها وكالة الأمن القومي الأمريكية (NSA) وتم سرقتها وتسريبها في عام 2017انتهى المطاف باستخدام تلك الأداة، المصممة نظرياً للعمليات شديدة التحكم، في هجمات واسعة النطاق مثل... WannaCry و NotPetyaمما تسبب في اضطرابات في المستشفيات والشركات والهيئات العامة في جميع أنحاء العالم، بما في ذلك أوروبا، وحوادث لاحقة مثل اختراق نتفليكس العظيم.

يعتقد بعض المتخصصين أن قد تُشكل كورونا نقطة تحول مماثلة في النظام البيئي للهواتف المحمولةيُظهر هذا أن أدوات الاستغلال المتطورة للغاية يُمكن دمجها في حملات الجرائم الإلكترونية التي تستهدف المستخدمين العاديين. والفرق هو أن الهدف الرئيسي في هذه الحالة هو الهواتف، التي أصبحت جزءًا لا يتجزأ من حياتنا الرقمية.

تشير تقارير من جوجل وآي فيريفي إلى احتمال وجود سوق نشطة للاستغلال "المستعمل"في هذه العملية، تنتقل أطر الاستغلال التي تستخدمها الوكالات أو مزودو خدمات المراقبة في البداية إلى أيدي جهات فاعلة أخرى عبر وسطاء. ويؤكد الخبراء أنه بمجرد دخول أداة ما هذه الدائرة، يكاد يكون من المستحيل استعادة السيطرة على من يستخدمه ولأي أغراض.

هذه الديناميكية تجبرنا على إعادة التفكير في التوازن بين تراكم الثغرات الأمنية لأغراض هجومية ومسؤولية إبلاغ الشركات المصنعة بها. في كل مرة يُتخذ فيها قرار بعدم الإبلاغ عن عطل حرج، يُفترض أن هذه المعلومات ستبقى تحت السيطرة، وهو أمر تُشكك فيه حالات مثل حالة كورونيا بشدة.

سوق مبهمة للاستغلال وتأثيرها في إسبانيا وأوروبا

خلف أحداث مثل تلك التي وقعت في كورونا، يمكن للمرء أن يجد في كثير من الأحيان سوق دولية غير منظمة بشكل جيد لوسطاء الثغرات الأمنيةيقوم هؤلاء الوسطاء بشراء أدوات الاختراق والاختراق بمبالغ طائلة ثم يعيدون بيعها للحكومات أو شركات المراقبة أو حتى الجهات الإجرامية التي تعمل بمفردها.

وقد تم الإعلان عن الحكم مؤخراً سبع سنوات في السجن لأحد المديرين التنفيذيين في شركة ترينشانت الأمريكيةبعد ثبوت بيعه أدوات اختراق لوسيط روسي متخصص في استغلال الثغرات الأمنية غير المعروفة. تُظهر حالات كهذه مدى تداخل الحدود بين صناعة الأمن السيبراني، وعمليات الاستخبارات، والسوق السوداء.

في السياق الأوروبي، وخاصة في إسبانيا، لهذه الحقيقة تداعيات مباشرة. يُستخدم هاتف آيفون على نطاق واسع لـ الخدمات المصرفية الرقمية، والمصادقة الثنائية، والوصول إلى الخدمات العامة، وإدارة معلومات الشركاتإذا وقعت أداة مثل كورونا في أيدي جماعات مدفوعة بالربح، فإن الخطر لم يعد يقتصر على فقدان الخصوصية فحسب، بل يشمل أيضاً التحويلات المالية غير المصرح بها، أو سرقة الهوية، أو تسريبات البيانات الحساسة.

يحذر الخبراء من أنه حتى في حال تم إصلاح الثغرات الأمنية المحددة التي استغلها فيروس كورونا، يمكن إعادة استخدام المعارف والأطر التي تم تطويرها حول هذه المجموعة للتكيف مع العيوب الجديدة في الإصدارات اللاحقة من نظام iOS. بعبارة أخرى، لا يختفي الخطر، بل يتطور بمرور الوقت بالتزامن مع تحديثات النظام نفسها.

في بيئة حيث لا تزال العديد من الشركات الأوروبية الصغيرة والمتوسطة الحجم تعتمد على الأجهزة المحمولة في أداء المهام الحيوية.يمكن أن يُشكّل اختراق جهاز آيفون قديم واحد بوابةً للوصول إلى الشبكات الداخلية، وأنظمة الإدارة، ومستودعات المستندات. هذه الثغرة الأمنية تجعل أمن الأجهزة المحمولة عنصرًا أساسيًا في أي استراتيجية للأمن السيبراني.

كيفية حماية جهاز iPhone الخاص بك من فيروس كورونا والتهديدات المماثلة

الجانب الإيجابي نسبياً في هذه القضية هو أن لم يعد فيروس كورونا فعالاً ضد أحدث إصدارات نظام التشغيل iOSبفضل الإصلاحات التي قامت آبل بتطبيقها، تحسّن الوضع. مع ذلك، طالما استمر عدد كبير من الأجهزة في العمل بإصدارات غير مُحدّثة من أنظمة iOS 13، 14، 15، 16، أو الإصدارات الأولى من iOS 17، سيظل لدى مُشغّلي هذه البرامج الخبيثة قاعدة من الضحايا المحتملين.

بالنسبة للمستخدمين في إسبانيا وبقية أوروبا، فإن خط الدفاع الأول واضح: احرص على تحديث جهاز iPhone الخاص بك دائمًا إلى أحدث إصدار من نظام التشغيل iOS المتاح لجهازكلا تزال العديد من الهجمات من هذا النوع مربحة لأن جزءًا كبيرًا من سوق الهواتف المحمولة يظل عالقًا على الإصدارات القديمة لأشهر أو حتى سنوات.

في الحالات التي يتعذر فيها تثبيت أحدث إصدار - بسبب التوافق مع التطبيقات الداخلية، أو القيود المؤسسية، أو طرازات iPhone القديمة - يمكن أن يؤدي تفعيل وضع الإغلاق من Apple إلى إضافة طبقة إضافية من الحمايةتعمل هذه الوظيفة على تقليل مساحة الهجوم عن طريق تعطيل سلوكيات معينة يتم استغلالها بشكل شائع بواسطة مجموعات الاستغلال المتقدمة.

كما يُنصح باتخاذ احتياطات إضافية. توخ الحذر عند زيارة المواقع الإلكترونية غير الموثوقة أو النقر على الروابط من مصادر مشبوهة.يُعدّ هذا الأمر بالغ الأهمية، خاصةً إذا كان الجهاز يُستخدم في عمليات حساسة كإدارة الحسابات المصرفية أو الاستثمارات أو محافظ العملات الرقمية. ورغم أن تطبيق كورونا لا يتطلب سوى تحميل الصفحة، إلا أن تقليل التعرّض للمواقع المشبوهة يُقلّل من احتمالية الوقوع ضحية لعمليات الاحتيال عبر الإنترنت.

في قطاع الشركات وفي الإدارات العامة، تُعد الإدارة المركزية لسياسات الأمان والتحديثات في نظام iOS أمرًا ضروريًايُعد الحفاظ على قوائم جرد الأجهزة محدثة، وتطبيق التصحيحات بطريقة منسقة، والحد من استخدام الإصدارات القديمة خطوات أساسية لتقليل مساحة الهجوم التي يمكن أن تستغلها هذه الأنواع من الأدوات.

حالة أداة اختراق أجهزة iPhone المسماة كورونا يُظهر هذا كيف يمكن لمجموعة أدوات استغلال متطورة للغاية أن تنتقل من عمليات مراقبة سرية إلى أن تصبح جزءًا من ترسانة مجموعات مختلفة - من موردين مرتبطين بالحكومات إلى مجرمي الإنترنت الروس والصينيين - في غضون سنوات قليلة فقط. على الرغم من أن شركة آبل قد أغلقت معظم الثغرات الأمنية المستغلة في أحدث إصدارات نظام التشغيل iOS، إن وجود آلاف الأجهزة القديمة في أوروبا يُبقي على الخطر قائماً ويؤكد على ضرورة الجمع بين التحديثات وميزات الحماية المتقدمة وعادات التصفح الحكيمة لتجنب اعتبار أمن الهاتف المحمول أمراً مفروغاً منه.

البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي
المادة ذات الصلة:
تُحدث الذكاء الاصطناعي ثورة في إنشاء البرامج الضارة واكتشافها ومكافحتها

تابعونا على أخبار جوجل