L'équipe du GReAT (Global Research and Analysis Team) de Kaspersky a mené une analyse approfondie du code source des exploits Coruna et a déterminé avec certitude que ce kit constitue une itération directe et actualisée du framework utilisé, du moins en partie, lors de la campagne de cyberespionnage Opération Triangulation. Kaspersky est convaincu que les exploitations du kernel identifiés dans les deux opérations sont l'œuvre du même auteur.
L'analyse a révélé que l'un des cinq exploits du noyau (kernel) du kit est une version mise à jour du même exploit découvert par Kaspersky lors de l'Opération Triangulation en 2023. Les quatre autres, dont deux développés après la divulgation publique de l'affaire, reposent sur la même architecture d’exploitation. Les similitudes de code dépassent le cadre du noyau pour s'étendre aux autres composants de Coruna, ce qui amène Kaspersky à conclure que le kit n'est pas un assemblage d’éléments disparates, mais bien une évolution du framework d’origine qui fait l’objet d’une maintenance continue.
Le code inclut désormais la prise en charge des processeurs Apple A17, M3, M3 Pro et M3 Max, ainsi que des références aux versions d’iOS allant jusqu’à la 17.2 (toutes publiées fin 2023). Il contient également un test spécifique pour la version bêta 4 d’iOS 16.5, déployée par Apple pour corriger les failles initialement signalées par Kaspersky.
« Lorsque Coruna a été signalé pour la première fois, les preuves publiques ne permettaient pas d'établir un lien formel avec Triangulation : des vulnérabilités communes ne prouvent pas à elles seules la paternité du code. L’analyse des binaires change aujourd’hui la donne. Coruna n'est pas un patchwork d'exploits publics, il s'agit d'une évolution du framework d'origine de l'Opération Triangulation qui fait l'objet d'une maintenance continue. L'intégration de vérifications ciblant des processeurs récents comme le M3 et de nouvelles versions d'iOS montre que les développeurs initiaux ont activement étendu cette base de code. Ce qui a commencé comme un outil d'espionnage de haute précision est aujourd'hui déployé de manière aveugle », explique Boris Larin, principal security researcher chez Kaspersky GReAT.
Kaspersky incite tous les utilisateurs d'iPhone à installer immédiatement les dernières mises à jour iOS. Si les vulnérabilités exploitées par Coruna ont été corrigées par Apple, les appareils non mis à jour demeurent exposés à un risque critique.
L’analyse technique complète est disponible sur Securelist.com.
L'Opération Triangulation est une campagne de menace persistante avancée (APT) ciblant les appareils iOS, révélée pour la première fois en juin 2023. Kaspersky avait identifié la campagne en surveillant le trafic de son propre réseau Wi-Fi d'entreprise, où l'attaquant visait les appareils de dizaines d'employés. Les chercheurs avaient alors identifié quatre failles "zero-day" affectant un large spectre de produits Apple.
À propos de
Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le site https://www.kaspersky.fr
