Ukrayna ve Çin’deki iPhone kullanıcılarını hedef alan büyük bir siber saldırı kampanyasında, muhtemelen ABD askeri müteahhidi L3Harris tarafından tasarlanan araçlar kullanıldı. Bu araçlar, Batılı casuslar için tasarlanmıştı fakat sonuçta Rus hükümeti ajanları ve Çinli siber suçlular gibi çeşitli siber saldırı gruplarının eline geçti.
Geçtiğimiz hafta, Google, 2025 yılı içinde, iPhone’ları hedef alan karmaşık bir hack aracının küresel saldırılarda kullanıldığını duyurdu. Orijinal geliştirici tarafından “Coruna” adıyla anılan bu araç seti, ismi açıklanmayan bir hükümet müşterisi tarafından “yüksek hedefli operasyonlar” için kullanılan 23 farklı bileşenden oluşuyordu. Daha sonra ise Rus hükümeti ajanları tarafından sınırlı sayıda Ukrayna vatandaşına ve nihayetinde Çinli siber suçlular tarafından “geniş ölçekli” kampanyalarda, para ve kripto para çalma amacıyla kullanıldı.
Mobil siber güvenlik şirketi iVerify’deki araştırmacılar, Coruna’nın muhtemelen ABD hükümetine satılan bir şirket tarafından ilk etapta geliştirilmiş olabileceğini bildirdi.
L3Harris hükümet müteahhidinin iki eski çalışanı, Coruna’nın en azından kısmen, şirketin siber saldırı ve gözetim teknolojileri bölümünde, Trenchant tarafından geliştirildiğini aktardı. Bu iki eski çalışan, şirketin iPhone hack araçları hakkında bilgi sahibiydi. İkisi de şirketteki işlerini konuşmak için yetkili olmadıkları için kimliklerini gizli tutma koşuluyla konuştu.
Bir eski L3Harris çalışanı, “Coruna kesinlikle bir bileşenin iç adıydı,” açıklamasını yaptı.
İletişim Bilgileri
Coruna veya diğer hükümet hack araçları hakkında daha fazla bilginiz varsa, Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde Signal üzerinden +1 917 257 1382 numarasından veya Telegram, Keybase ve Wire üzerinden @lorenzofb, ya da e-posta ile iletişime geçebilirsiniz.
Eski çalışan, Trenchant araç setinin çeşitli bileşenler içerdiğini ve Coruna ile ilgili açıkların bulunduğunu doğruladı. Diğer bir eski çalışan, yayınlanan hack aracındaki bazı ayrıntıların Trenchant’dan geldiğini onayladı.
L3Harris, Trenchant’ın hack ve gözetim araçlarını yalnızca ABD hükümeti ve Five Eyes istihbarat ortakları ile satmaktadır. Five Eyes, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık’ı içerir. Trenchant’ın sınırlı müşteri sayısı göz önüne alındığında, Coruna’nın başlangıçta bu hükümetlerin istihbarat ajansları tarafından edinilmiş ve kullanılmış olması mümkündür. Ancak, yayınlanan Coruna hack aracının ne kadarının L3Harris Trenchant tarafından geliştirildiği belirsizdir.
L3Harris sözcüsü, yorum taleplerine yanıt vermedi.
Coruna’nın nasıl Five Eyes hükümet müteahhidinin elinden Rus bir hack grubuna ve ardından Çinli bir siber suç çetesine geçtiği net değil.
Bununla birlikte, bazı koşullar, Trenchant’ın eski genel müdürü Peter Williams’ın durumuyla benzerlik göstermektedir. 2022’den 2025’in ortalarına kadar Williams, sıfır gün açıkları karşılığında milyonlarca dolar teklif eden Operation Zero adlı Rus şirketine sekiz adet hack aracını sattı.
39 yaşındaki Avustralya vatandaşı Williams, geçen ay, Trenchant’tan sekiz hack aracını Operation Zero’ya 1.3 milyon dolara çaldığını ve sattığını kabul ettikten sonra yedi yıl hapis cezasına çarptırıldı. ABD hükümeti, “tam erişim” avantajından yararlanan Williams’ın, ABD ve müttefiklerini “ihanet” ettiğini belirtti. Savcılar, Williams’ın, bu araçların kullanılması halinde “dünyadaki milyonlarca bilgisayara ve cihaza potansiyel erişim sağlanabileceğini” öne sürdü ve araçların iOS gibi yaygın yazılımları etkileyen açıkları kullandığını vurguladı.
Geçtiğimiz ay ABD hükümeti tarafından yaptırım uygulanan Operation Zero, yalnızca Rus hükümeti ve yerel şirketlerle çalıştığını iddia ediyor. ABD Hazine Bakanlığı, Rus aracıdan Williams’ın “çalınmış araçlarını en az bir yetkisiz kullanıcıya” sattığını belirtti.
Bu durum, Google’ın yalnızca UNC6353 olarak tanımladığı Rus istihbarat grubunun, Coruna’yı nasıl edindiğini ve onu belirli bir coğrafi konumdan gelen belirli iPhone kullanıcılarını hedeflemek üzere Ukrayna’nın tehlikeli sitelerinde kullanarak nasıl dağıttığını açıklıyor.
Bir kez Operation Zero Coruna’yı edindikten sonra, muhtemelen Rus hükümetine sattıktan sonra, aracın başka birine, belki başka bir aracıya, başka bir ülkeye veya doğrudan siber suçlulara yeniden satılması mümkün. Hazine, Trickbot fidye yazılım çetesinin bir üyesinin Operation Zero ile birlikte çalıştığını iddia ederek aracıyı, maddi çıkar peşindeki hackerlarla ilişkilendiriyor.
Bu noktada, Coruna diğer ellere geçmiş olabilir ve sonunda Çinli hackerlara ulaşmış olabilir. ABD savcılarına göre, Williams, Operation Zero’ya yazdığı ve sattığı kodu daha sonra Güney Koreli bir aracıda gördüğünü anlamış.
Triangülasyon Operasyonu
Google araştırmacıları, Salı günü, Coruna’nın iki belirli açığının ve temel zayıflıklarının, orijinal geliştiricileri tarafından Photon ve Gallium olarak adlandırıldığını ve Rus iPhone kullanıcılarına karşı kullanıldığı iddia edilen sofistike bir hacking kampanyası olan Triangülasyon Operasyonu’nda sıfır gün açığı olarak kullanıldığını yazdı. Triangülasyon Operasyonu, 2023’te Kaspersky tarafından ilk kez açıklandı.
iVerify’in kurucu ortağı Rocky Cole, TechCrunch’a verdiği demeçte, “şu anda bilinenler temelinde en iyi açıklama,” Coruna’nın orijinal geliştiricisi ve müşterisi olarak Trenchant ve ABD hükümetine işaret ettiğini söyledi. Ancak, Cole, bunun “kesinlikle” olmadığını ekledi.
Bu değerlendirme, üç faktöre dayanıyor. Coruna’nın kullanım zamanlaması, Williams’ın sızıntılarıyla örtüşüyor, Coruna’daki üç modül – Plazma, Photon ve Gallium – arasındaki yapı Triangülasyon ile büyük benzerlik gösteriyor ve Coruna, bu operasyonda kullanılan bazı aynı açıkları yeniden kullandı, dedi.
Cole’a göre, “savunma topluluğuna yakın kişiler,” Plazma’nın Triangülasyon Operasyonu’nda kullanıldığını belirtmesine rağmen, bununla ilgili herhangi bir kamu kanıtı olmadığını belirtti. (Cole daha önce ABD Ulusal Güvenlik Ajansı’nda çalışmıştı.)
Google ve iVerify’a göre, Coruna, Eylül 2019 ile Aralık 2023 arasında piyasaya sürülen iOS 13 ila 17.2.1 sürümlerini kullanan iPhone modellerini hacklemek üzere tasarlandı. Bu tarihler, Williams’ın sızıntılarının zamanlaması ve Triangülasyon Operasyonu’nun keşfiyle örtüşüyor.
Eski Trenchant çalışanlarından biri, TechCrunch’a, Triangülasyon’un 2023’te ilk kez duyurulduğunda, şirketteki diğer çalışanların Kaspersky tarafından tespit edilen sıfır günlerden en az birinin “bizden olduğuna ve muhtemelen Coruna’yı içeren genel projeden ‘çıkartıldığına’ inandığını” aktardı.
Trenchant’a işaret eden bir diğer detay, bazı 23 aracın kuş isimleri ile anılmasıdır. Örneğin Cassowary, Terrorbird, Bluebird, Jacurutu ve Sparrow. 2021 yılında Washington Post, daha sonra L3Harris tarafından satın alınan Azimuth’ın, FBI’a ünlü San Bernardino iPhone kırma davasında Condor adında bir hack aracı sattığını ortaya çıkarmıştı.
Kaspersky, Triangülasyon Operasyonu hakkında araştırmalarını yayınladıktan sonra, Rusya Federal Güvenlik Servisi, NSA’nın Rusya’da “binlerce” iPhone’u hacklediğini, özellikle diplomatları hedef aldığını iddia etti. Kaspersky, o dönemde FSB’nin iddiaları hakkında bilgi sahibi olmadıklarını ancak Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi (NCCCI) tarafından tespit edilen “uzaklaştırıcı göstergelerinin” Kaspersky tarafından tespit edilenler ile aynı olduğunu belirtti.
Kaspersky’den Boris Larin, TechCrunch’a verdiği bir e-posta ile “kapsamlı araştırmalarımıza rağmen, Triangülasyon Operasyonu’nu bilinen herhangi bir [Gelişmiş Sürekli Tehdit] grubu veya açık geliştirme şirketi ile ilişkilendiremiyoruz” dedi.
Larin, Google’ın Coruna’yı Triangülasyon Operasyonu ile ilişkilendirmesinin nedeninin her ikisinin aynı iki açığı kullanıyor olması olduğunu açıkladı – Photon ve Gallium.
“Atıf, yalnızca bu açıkların istismar edilme gerçeğine dayanamaz. Her iki açığın tüm ayrıntıları uzun süredir kamuya açık ve dolayısıyla herkes bunlardan yararlanma fırsatına sahip,” diyerek bu iki zayıflığın “sadece buzdağının görünen kısmı” olduğunu sözlerine ekledi.
Kaspersky, kamuya açık biçimde ABD hükümetini Triangülasyon Operasyonu’nun arkasında olmakla suçlamadı. İlginç bir şekilde, Kaspersky’nin kampanya için oluşturduğu simge – üçgenlerden oluşan bir elma logosu – L3Harris logosunu andırıyor. Bu kesinlikle bir tesadüf olmayabilir. Kaspersky daha önce bir hacking kampanyasını kamuya açık bir şekilde atfetmeyeceğini belirtirken, aslında arkasında kimlerin olduğunu ya da kimlerin araç sağladığını bildiğini açık bir şekilde belirtti.
2014 yılında Kaspersky, “Careto” (İspanyolca “Maske” anlamına gelir) olarak bilinen sofistike ve sinsi bir hükümet hack grubunu yakaladığını duyurmuştu. Şirket, hackerlerin İspanyolca konuştuğunu yalnızca belirtti. Ancak, raporunda kullandığı maske illüstrasyonu, İspanyol bayrağının kırmızı ve sarı renklerini, boğa boynuzlarını ve burun halkasını içermekteydi.
TechCrunch, geçen yıl yaptığı haberde Kaspersky araştırmacılarının, Careto’nun İspanyol hükümeti tarafından yönetildiğine “hiçbir şüphe olmadığını” özel olarak düşündüklerini aktarmıştı.
Çarşamba günü, siber güvenlik gazetecisi Patrick Gray, “Risky Business” adlı podcastinin bir bölümünde “Williams’ın Operation Zero’ya sızdırdığı şeyin Triangülasyon kampanyasında kullanılan hack kiti olduğuna dair ‘birçok parça’ ile güven duyduğunu” söyledi.
Apple, Google, Kaspersky ve Operation Zero, yorum taleplerine yanıt vermedi.
