Teknik peretasan iPhone digunakan di alam liar untuk membajak perangkat mana pun tanpa pandang bulu iOS pengguna yang hanya mengunjungi situs web merupakan peristiwa langka dan mengejutkan di dunia keamanan siber. Sekarang satu perangkat peretasan yang kuat di pusat banyak massa iPhone Kampanye eksploitasi telah mengambil jalur yang lebih jarang dan lebih meresahkan: Tampaknya eksploitasi tersebut berpindah dari tangan mata-mata Rusia yang menggunakannya untuk menargetkan warga Ukraina hingga operasi penjahat dunia maya yang dirancang untuk mencuri mata uang kripto dari korban yang berbahasa Mandarin—dan beberapa petunjuk menunjukkan bahwa eksploitasi mungkin awalnya dibuat oleh kontraktor AS dan dijual kepada pemerintah Amerika.
Peneliti keamanan di Google pada hari Selasa merilis laporan menggambarkan apa yang mereka sebut “Coruna,” sebuah perangkat peretasan iPhone yang sangat canggih yang mencakup lima teknik peretasan lengkap yang mampu melewati semua pertahanan iPhone untuk memasang malware secara diam-diam pada perangkat saat perangkat tersebut mengunjungi situs web yang berisi kode eksploitasi. Secara total, Coruna memanfaatkan 23 kerentanan berbeda di iOS, kumpulan komponen peretasan langka yang menunjukkan bahwa Coruna dibuat oleh kelompok peretas yang memiliki sumber daya yang baik dan kemungkinan besar disponsori oleh negara.
Faktanya, Google menelusuri komponen Coruna hingga teknik peretasan yang ditemukan digunakan pada bulan Februari tahun lalu dan dikaitkan dengan apa yang digambarkannya hanya sebagai “pelanggan perusahaan pengawasan.” Kemudian, lima bulan kemudian, Google mengatakan versi Coruna yang lebih lengkap muncul kembali dalam apa yang tampaknya merupakan kampanye spionase yang dilakukan oleh kelompok mata-mata Rusia yang diduga, yang menyembunyikan kode peretasan di komponen penghitungan pengunjung umum di situs web Ukraina. Terakhir, Google melihat Coruna digunakan lagi dalam kampanye peretasan yang tampaknya murni berfokus pada keuntungan, menginfeksi situs kripto dan perjudian berbahasa Mandarin untuk mengirimkan malware yang mencuri mata uang kripto korban.
Yang jelas tidak ada dalam laporan Google adalah penyebutan siapa “pelanggan” perusahaan pengawasan asli yang menerapkan Coruna. Namun perusahaan keamanan seluler iVerify, yang juga menganalisis versi Coruna yang diperoleh dari salah satu situs Tiongkok yang terinfeksi, menunjukkan bahwa kode tersebut mungkin awalnya digunakan sebagai perangkat peretasan yang dibuat atau dibeli oleh pemerintah AS. Google dan iVerify keduanya mencatat bahwa Coruna berisi beberapa komponen yang sebelumnya digunakan di a operasi peretasan yang dikenal sebagai “Triangulasi” yang ditemukan menargetkan perusahaan keamanan siber Rusia Kaspersky pada tahun 2023, yang diklaim pemerintah Rusia sebagai hasil karya NSA. (Pemerintah AS tidak menanggapi klaim Rusia.)
Kode Coruna juga tampaknya awalnya ditulis oleh pembuat kode berbahasa Inggris, kata salah satu pendiri iVerify, Rocky Cole. “Ini sangat canggih, membutuhkan jutaan dolar untuk dikembangkan, dan memiliki keunggulan dibandingkan modul lain yang secara publik dikaitkan dengan pemerintah AS,” kata Cole kepada WIRED. “Ini adalah contoh pertama yang kami lihat mengenai kemungkinan besar alat pemerintah AS—berdasarkan apa yang disampaikan dalam kode etik tersebut—di luar kendali dan digunakan oleh musuh dan kelompok penjahat dunia maya.”
Sebuah “Momen Biru Abadi”
Terlepas dari asal muasal Coruna, Google memperingatkan bahwa perangkat peretasan yang sangat berharga dan langka tampaknya telah melewati serangkaian tangan yang tidak terduga, dan kini ada di alam liar sehingga masih dapat diadopsi—atau diadaptasi—oleh kelompok peretas mana pun yang ingin menargetkan pengguna iPhone.
“Bagaimana proliferasi ini terjadi masih belum jelas, namun menunjukkan adanya pasar aktif untuk eksploitasi zero-day ‘bekas’,” demikian isi laporan Google, menggunakan istilah zero-day untuk merujuk pada teknik peretasan rahasia yang mengeksploitasi kerentanan yang belum ditambal. “Di luar eksploitasi yang teridentifikasi ini, banyak pelaku ancaman kini telah memperoleh teknik eksploitasi canggih yang dapat digunakan kembali dan dimodifikasi dengan kerentanan yang baru teridentifikasi.”
Cole dari iVerify mencatat bahwa jika Coruna benar-benar dimulai sebagai alat yang ditujukan untuk pemerintah AS, hal ini juga menimbulkan pertanyaan tentang keamanan perangkat seluler di dunia di mana alat peretasan sangat canggih yang dibuat atau dijual kepada pemerintah Amerika dapat bocor ke pihak lawan. “Ini adalah momen EternalBlue untuk malware seluler,” kata Cole. Biru Abadi adalah alat peretasan Windows yang dicuri dari Badan Keamanan Nasional dan dibocorkan pada tahun 2017, sehingga menyebabkan penggunaannya dalam serangan siber yang membawa bencana, termasuk di Korea Utara. Ingin Menangis worm dan Rusia BukanPetya menyerang.
Google mencatat bahwa Apple menambal kerentanan yang digunakan oleh Coruna di versi terbaru sistem operasi selulernya, iOS 26jadi teknik eksploitasinya hanya dipastikan berfungsi pada iOS 13 hingga 17.2.1. Ini menargetkan kerentanan dalam kerangka Webkit Apple untuk browser, sehingga pengguna Safari pada versi iOS yang lebih lama akan rentan, namun tidak ada teknik yang dikonfirmasi dalam toolkit untuk menargetkan pengguna Chrome. Google juga mencatat bahwa Coruna memeriksa apakah perangkat iOS memiliki pengaturan keamanan paling ketat dari Apple, yang dikenal sebagai Modus Pengunciandiaktifkan, dan tidak mencoba meretasnya jika demikian.
Terlepas dari keterbatasan tersebut, iVerify mengatakan Coruna kemungkinan menginfeksi puluhan ribu ponsel. Perusahaan berkonsultasi dengan mitra yang memiliki akses ke lalu lintas jaringan dan menghitung kunjungan ke server perintah dan kontrol untuk Coruna versi penjahat dunia maya yang menginfeksi situs web berbahasa Mandarin. Volume koneksi tersebut menunjukkan, kata iVerify, bahwa sekitar 42.000 perangkat mungkin telah diretas dengan toolkit tersebut dalam kampanye nirlaba saja.
Berapa banyak korban lain yang mungkin terkena Coruna, termasuk warga Ukraina yang mengunjungi situs web yang terinfeksi kode tersebut oleh dugaan operasi spionase Rusia, masih belum jelas. Google menolak berkomentar selain laporan yang dipublikasikan. Apple tidak segera memberikan komentar atas temuan Google atau iVerify.
Seorang Penulis Lajang, Sangat Profesional
Dalam analisis iVerify terhadap Coruna versi penjahat dunia maya—yang tidak memiliki akses ke versi sebelumnya—perusahaan menemukan bahwa kode tersebut tampaknya telah diubah untuk menanam malware pada perangkat target yang dirancang untuk menguras mata uang kripto dari dompet kripto serta mencuri foto dan, dalam beberapa kasus, email. Namun penambahan tersebut “ditulis dengan buruk” dibandingkan dengan toolkit Coruna yang mendasarinya, menurut chief product officer iVerify Spencer Parker, yang menurutnya sangat halus dan modular.
“Ya Tuhan, hal-hal ini ditulis dengan sangat profesional,” kata Parker tentang eksploitasi yang disertakan dalam Coruna, yang menunjukkan bahwa malware yang lebih kasar ditambahkan oleh penjahat dunia maya yang kemudian memperoleh kode tersebut.
Mengenai modul kode yang menunjukkan asal usul Coruna sebagai perangkat pemerintah AS, Cole dari iVerify mencatat satu penjelasan alternatif: Ada kemungkinan bahwa tumpang tindih antara kode Coruna dan malware Operasi Triangulasi, yang disematkan Rusia pada peretas AS, bisa jadi disebabkan oleh komponen Triangulasi yang diambil dan digunakan kembali setelah ditemukan. Namun Cole berpendapat hal itu tidak mungkin terjadi. Banyak komponen Coruna yang belum pernah dilihat sebelumnya, jelasnya, dan keseluruhan perangkat tampaknya dibuat oleh “penulis tunggal”, seperti yang ia katakan.
“Kerangka kerja ini berjalan dengan sangat baik,” kata Cole, yang sebelumnya bekerja di NSA, namun mencatat bahwa dia sudah keluar dari pemerintahan selama lebih dari satu dekade dan tidak mendasarkan temuannya pada pengetahuannya yang sudah ketinggalan zaman tentang alat peretasan AS. “Sepertinya ditulis secara keseluruhan. Tampaknya tidak disatukan.”
Jika Coruna, pada kenyataannya, adalah perangkat peretasan Amerika yang nakal, bagaimana cara Coruna bisa sampai ke tangan pihak asing dan kriminal masih menjadi misteri. Namun Cole menunjuk pada industri broker yang mungkin membayar puluhan juta dolar untuk teknik peretasan zero-day yang dapat mereka jual kembali untuk spionase, kejahatan dunia maya, atau perang dunia maya. Khususnya, Peter Williams, seorang eksekutif kontraktor pemerintah AS Trenchant, dijatuhi hukuman tujuh tahun penjara bulan ini karena menjual alat peretasan ke broker zero-day Rusia Operation Zero dari tahun 2022 hingga 2025. Memo hukuman Williams mencatat bahwa Trenchant menjual alat peretasan kepada komunitas intelijen AS serta pihak lain dalam kelompok pemerintah berbahasa Inggris “Five Eyes”—AS, Inggris, Australia, Kanada, dan Selandia Baru—meskipun tidak jelas alat spesifik apa yang dia jual atau perangkat apa yang mereka targetkan.
“Para broker yang zero-day dan mengeksploitasi ini cenderung tidak bermoral,” kata Cole. “Mereka menjual kepada penawar tertinggi dan melakukan double dip. Banyak yang tidak memiliki pengaturan eksklusivitas. Kemungkinan besar itulah yang terjadi di sini.”
“Salah satu alat ini berakhir di tangan broker eksploitasi non-Barat, dan mereka menjualnya kepada siapa pun yang bersedia membayar,” Cole menyimpulkan. “Jin itu sudah keluar dari botol.”
