Ein ursprünglich wohl für US-Behörden entwickeltes Exploit-Kit kursiert in der Wildnis und wird nun von russischen Spionen und Kriminellen genutzt.
Die IT-Sicherheitswelt blickt auf einen beispiellosen Fall von Proliferation: Ein hochkomplexes Hacking-Toolkit namens „Coruna“, das in der Lage ist, iPhones beim bloßen Besuch einer präparierten Webseite vollständig zu übernehmen, verbreitet sich unkontrolliert. Was als mutmaßliches Präzisionswerkzeug für staatliche Akteure begann, ist mittlerweile zu einem Allzweckwerkzeug für Cyberspione und Finanzkriminelle geworden. Sicherheitsforscher von Google und dem Mobilfunk-Sicherheitsspezialisten iVerify warnen vor einer Entwicklung, die Parallelen zum berüchtigten „EternalBlue“-Leak der NSA aufweist.
Der Umfang des Toolkits ist beeindruckend und beängstigend zugleich. Coruna nutzt laut den Google-Experten insgesamt 23 verschiedene Schwachstellen in Apples Betriebssystem iOS aus, um Schutzmechanismen wie das Sandboxing oder die Pointer Authentication (PAC) zu umgehen. Betroffen sind Geräte mit den Versionen iOS 13 bis einschließlich iOS 17.2.1. Da das Toolkit gezielt Schwachstellen im WebKit-Framework anspricht, reicht der Aufruf einer infizierten URL im Safari-Browser aus, um eine Infektion zu starten. Besonders pikant: Die Code-Analysen deuten darauf hin, dass die ursprüngliche Entwicklung Millionen von US-Dollar gekostet haben muss und von englischsprachigen Profis stammt. Viele Komponenten ähneln „Wired“ zufolge auffallend Modulen, die bereits früher US-Geheimdiensten zugeschrieben wurden.
Die Reise des Schadcodes durch die Hände verschiedenster Akteure liest sich wie ein Cyber-Thriller. Zuerst beobachtete Google den Einsatz bei einem namentlich nicht genannten Kunden einer Überwachungsfirma. Kurze Zeit später tauchte das Toolkit im Sommer 2025 in einer Spionagekampagne auf, die mutmaßlich von russischen Hackern gesteuert wurde. Diese infizierten ukrainische Webseiten, um gezielt die Geräte von Besuchern zu kompromittieren.
Aktuell wird Coruna jedoch in großem Stil von finanziell motivierten Kriminellen aus dem chinesischsprachigen Raum genutzt. Diese platzieren den Exploit auf gefälschten Krypto-Börsen und Glücksspielseiten, um die digitalen Wallets der Opfer leerzuräumen. Schätzungen von iVerify gehen davon aus, dass allein durch diese kriminelle Kampagne bereits über 40.000 iPhones infiziert wurden.
Die technische Professionalität des Kerns von Coruna steht dabei in krassem Gegensatz zu den später hinzugefügten Modulen. Während das ursprüngliche Toolkit als „beeindruckend poliert“ und modular beschrieben wird, wirken die von den Kriminellen ergänzten Funktionen zum Diebstahl von Kryptowährungen eher hölzern und weniger ausgereift. Dies stützt die These, dass ein hocheffizientes staatliches Werkzeug auf dem Schwarzmarkt für Zero-Day-Exploits gelandet ist und dort mehrfach weiterverkauft wurde. Experten sprechen von einem „Second-Hand-Markt“ für digitale Waffen, auf dem Exklusivität kaum noch existiert.
Für iPhone-Nutzer gibt es immerhin eine teilweise Entwarnung: Apple hat die meisten der genutzten Sicherheitslücken in aktuellen Versionen ab iOS 17.3 sowie im aktuellen iOS 26 geschlossen. Zudem erkennt das Toolkit, ob auf einem Gerät der besonders restriktive Blockierungsmodus“ (Lockdown Mode) aktiviert ist – in diesem Fall bricht der Exploit den Angriffsversuch ab. Google und Sicherheitsforscher raten daher dringend zu zeitnahen Updates. Der Fall Coruna bleibt dennoch ein Mahnmal für die Risiken staatlich entwickelter Überwachungssoftware: Einmal in der Welt, lässt sich der digitale Geist kaum wieder in die Flasche zurückholen.
Keine Kommentare:
Kommentar veröffentlichen