Ukrayna ve Çin’deki iPhone kullanıcılarını hedef alan büyük bir hack kampanyasında, muhtemelen ABD askerî müteahhidi L3Harris tarafından tasarlanmış araçlar kullanıldı. Bu araçlar, Batılı casuslara yönelik olarak tasarlanmış olsa da, çeşitli hack gruplarının eline geçti.
Geçtiğimiz hafta Google, 2025 yılı boyunca yaptığı incelemelerde, karmaşık bir iPhone hack araç setinin küresel saldırılarda kullanıldığını açıkladı. İlk geliştiricisi tarafından “Coruna” adı verilen bu set, isimsiz bir hükümet müşteri tarafından “hedeflenmiş operasyonlarda” kullanıldı ve ardından Rus hükümeti casusları ile Çinli siber suçluların eline geçti. Amaçları ise para ve kripto para çalmak oldu.
Mobil siber güvenlik şirketi iVerify, Coruna’yı bağımsız olarak analiz etti. Şirket, bu aracın başlangıçta, ABD hükümetine satılan bir şirket tarafından geliştirilmiş olabileceğine inanıyor.
Eski L3Harris çalışanlarından iki kişi, Coruna’nın şirketin siber güvenlik ve gözetleme teknolojileri bölümü olan Trenchant tarafından geliştirilmiş olduğunu belirtti. Bu kişilerin her ikisi de, şirketin iPhone hack araçları hakkında bilgi sahibi olmalarına rağmen kimliklerini açıklamak istemedi.
Bir eski L3Harris çalışanı, “Coruna kesinlikle bir bileşenin içsel adıydı” dedi.
“Teknik detayları incelediğimizde,” bu kişi, Google’ın yayınladığı kanıtlar hakkında konuşarak, “birçok şey tanıdık geliyor,” dedi.
İletişim Kurun
Coruna veya diğer hükümet hack ve casus yazılım araçları hakkında daha fazla bilginiz var mı? Çalışmadığınız bir cihazdan Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde Signal üzerinden +1 917 257 1382 numarasından veya Telegram, Keybase ve Wire üzerinden @lorenzofb ile iletişime geçebilirsiniz.
Eski çalışan, Trenchant araç setinin Coruna ve ilgili exploit’leri içeren çeşitli bileşenler barındırdığını söyledi. Diğer bir eski çalışan da, yayınlanan hack aracının bazı detaylarının Trenchant’tan geldiğini doğruladı.
L3Harris, Trenchant’ın hack ve gözetleme araçlarını yalnızca ABD hükümeti ve İngiltere, Avustralya, Kanada ve Yeni Zelanda dahil olmak üzere “Five Eyes” istihbarat ortaklarına satıyor. Trenchant’ın sınırlı müşteri sayısı göz önüne alındığında, Coruna’nın bu hükümetlerin istihbarat teşkilatları tarafından edinilmiş ve kullanılmış olabileceği, ancak nasıl sızdırıldığı kesin değil.
Bir L3Harris sözcüsü, yorum talebine yanıt vermedi.
Coruna’nın neden Five Eyes hükümet müteahhitlerinin elinden Rus hükümeti hack grubuna, ardından da Çinli siber suç çetelerine geçiş yaptığı belirsiz. Ancak bazı durumlar, Trenchant’ın eski genel müdürü Peter Williams’ın davasıyla benzerlik taşıyor.
Williams, 2022 ile 2025 arasında Trenchant’a ait sekiz hack aracını, sıfır gün exploit’leri için milyonlarca dolar teklif eden Rus şirketi Operation Zero’ya sattı. Geçtiğimiz ay yedi yıl hapis cezasına çarptırıldı ve Trenchant’ın ağlarına “tam erişim” sağladığı için ABD ve müttefiklerini “ihanet” etmekle suçlandı.
Operation Zero, geçen ay ABD hükümeti tarafından yaptırıma tabi tutuldu ve yalnızca Rus hükümeti ile yerel şirketlerle çalıştığını iddia ediyor. ABD Hazine Bakanlığı, Williams’ın “çalıntı araçları en az bir yetkisiz kullanıcıya sattığını” belirtti.
Bu durum, Google’ın sadece UNC6353 olarak tanımladığı Rus casusluk grubunun Coruna’yı nasıl edindiğini ve hedef alan Ukraynalı web sitelerine yerleştirerek belirli bir coğrafi konumdan gelen iPhone kullanıcılarını hacklediğini açıklayabilir.
Operation Zero Coruna’yı aldıktan sonra, bunu Rus hükümetine satmış olabilir. Bu aracın başka bir aracılara, başka bir ülkeye veya doğrudan siber suçlulara satılması muhtemeldir. Hazine, Trickbot fidye yazılım çetesi bir üyesinin Operation Zero ile çalıştığını iddia ediyor ve bu aracı finansal açıdan motive olmuş hackerlarla ilişkilendiriyor.
Coruna daha sonra başka ellere geçmiş olabilir ve sonunda Çinli hackerlara ulaşmış olabilir. ABD savcılarına göre, Williams, Operation Zero’ya sattığı kodu daha sonra Güney Koreli bir aracı tarafından kullanıldığını tanıdı.
Operation Triangulation
Google araştırmacıları, Salı günü Coruna’nın iki özel exploit’inin ve temel zafiyetlerinin, ilk geliştiricileri tarafından Photon ve Gallium olarak adlandırıldığını, Rus iPhone kullanıcılarına karşı kullanılan Operation Triangulation kampanyasında sıfır gün exploit’leri olarak kullanıldığını yazdı.
iVerify’in kurucu ortağı Rocky Cole, TechCrunch’a verdiği bir röportajda “şu an için bilinen en iyi açıklama”nın Trenchant ve ABD hükümetinin Coruna’nın orijinal geliştiricileri ve müşterileri olduğunu gösterdiğini belirtti; ancak kesin bir iddiada bulunmuyor.
Bu değerlendirme, üç faktöre dayanıyor: Coruna’nın kullanım zamanlaması, Williams’ın sızdırdığı araçlarla uyumlu; Coruna’da bulunan Plasma, Photon ve Gallium adındaki üç modülün yapısı Triangulation ile benzerlik gösteriyor; ve Coruna’nın, o operasyonda kullanılan bazı exploit’leri geri dönüştürdüğü tahmin ediliyor.
Cole, “savunma topluluğuna yakın olan kişiler”in Plasma’nın Operation Triangulation’da kullanıldığını iddia ettiğini söyledi; ancak bunun kamuya açık bir kanıtı bulunmadığını ekledi. (Cole daha önce, ABD Ulusal Güvenlik Ajansı’nda çalışmıştı.)
Google ve iVerify’e göre, Coruna, Eylül 2019 ile Aralık 2023 arasında piyasaya sürülen iOS 13 ile 17.2.1 sürümünü çalıştıran iPhone modellerini hacklemek için tasarlandı. Bu tarihler, Williams’ın sızdırdığı bazı detaylarla ve Operation Triangulation’ın keşfiyle örtüşüyor.
Bir eski Trenchant çalışanı, TechCrunch’a, Triangulation’ın 2023’te ilk kez ortaya çıktığında, şirketteki diğer çalışanların, Kaspersky tarafından yakalanan sıfır günlerden en az birinin “bizim olduğuna ve muhtemelen Coruna’yı içeren genel proje içerisinden ‘söküldüğüne’” inandıklarını aktardı.
Trenchant’a göndermede bulunan başka bir detay ise, bazı araçların isimlerinin kuş isimleriyle anılmasıdır; bu araçlar arasında Cassowary, Terrorbird, Bluebird, Jacurutu ve Sparrow yer alıyor. 2021 yılında Washington Post, L3Harris tarafından daha sonra devralınan iki girişimden birinin, FBI’a San Bernardino iPhone kırma davasında “Condor” isimli bir hack aracı sattığını ortaya çıkardı.
Kaspersky, Operation Triangulation üzerine araştırmalarını yayımladığında, Rusya Federal Güvenlik Servisi (FSB) NSA’yı Rusya’daki “binlerce” iPhone’u hacklemekle suçladı ve özellikle diplomatları hedef aldığını belirtti. Kaspersky, FSB’nin iddiaları hakkında herhangi bir bilgiye sahip olmadığını ancak Rusya Ulusal Bilgisayar Olayları Koordinasyon Merkezi (NCCCI) tarafından tanımlanan “uzlaşma göstergelerinin” kendilerinin belirledikleriyle aynı olduğunu belirtti.
Kaspersky’deki güvenlik araştırmacısı Boris Larin, TechCrunch’a yaptığı bir e-postada, “Kapsamlı araştırmamıza rağmen, Operation Triangulation’ı herhangi bir bilinen [Gelişmiş Sürekli Tehdit] grubu ya da exploit geliştirme şirketine atfedemiyoruz,” dedi.
Larin, Google’ın Coruna’yı Operation Triangulation ile bağlantılandırmasının sebebinin, her ikisinin de aynı iki zayıflığı -Photon ve Gallium- kullanması olduğunu açıkladı.
“Atıfta bulunma yalnızca bu zayıflıkların sömürülmesi gerçeğine dayandırılamaz. Bu zayıflıkların tüm ayrıntıları çoktan kamuya açık, bu nedenle herkes bunlardan yararlanabilir,” diyerek, bu iki ortak zayıflığın sadece “buzdağının görünen kısmı” olduğunu ifade etti.
Kaspersky, Operation Triangulation’un ardında ABD hükümetinin olduğunu açıkça iddia etmedi. İlginç bir şekilde, kampanya için oluşturduğu logo -birden fazla üçgenden oluşan bir elma logosu- L3Harris’in logosuyla benzerlik taşıyor ve Trenchant’ın logosu da iki üçgenden oluşuyor. Bu bir tesadüf olmayabilir. Kaspersky, bir hack kampanyasını kamuya açık bir şekilde atfetmeyeceğini, fakat aslında bunun arkasında kimlerin olduğunu veya bu araçların kim tarafından sağlandığını gizlice ima etmeyeceğini daha önce söylemişti.
2014 yılında Kaspersky, “Careto” (İspanyolca “maske”) adıyla bilinen karmaşık ve yanıltıcı bir hükümet hack grubunu yakaladığını duyurdu. Şirket sadece hackerların İspanyolca konuştuğunu söyledi. Ancak raporlarındaki bir maske illüstrasyonu, İspanyol bayrağının kırmızı ve sarı renklerini, boğa boynuzlarını ve burun halkasını içeriyordu.
Geçtiğimiz yıl TechCrunch, Kaspersky araştırmacılarının, “şüphesiz” Careto’nun İspanyol hükümeti tarafından yürütüldüğü sonucuna ulaştığını ortaya çıkardı.
Çarşamba günü, siber güvenlik muhabiri Patrick Gray, podcast’i Risky Business’ta, Williams’ın Operation Zero’ya sızdırdığı şeyin Triangulation kampanyasında kullanılan hack seti olduğunu düşündüğünü belirtti.
Apple, Google ve Operation Zero, yorum taleplerine yanıt vermedi.
Bu yazı başlangıçta 9 Mart’ta yayınlanmıştır.
