هل تخيلت يوماً وجود حقيبة أدوات سحرية تحتوي على مفتاح لكل قفل في منزلك؟ هذا بالضبط ما تمثله حزمة “Coruna” الخبيثة التي كشفت عنها مجموعة تحليل التهديدات في جوجل (GTIG). نحن لا نتحدث عن مجرد ثغرة أمنية عابرة، بل عن “سوبر ماركت” متكامل من الاستغلالات الأمنية التي تنقلت بين أيدي باعة برامج التجسس والمخابرات الروسية وصولاً إلى المحتالين الصينيين، في رحلة مشبوهة تكشف لنا كيف يدار سوق “الثغرات المستعملة” في العالم السفلي للإنترنت.
رحلة “Coruna” من التجسس الدولي إلى السرقة المالية
تعتبر حزمة Coruna واحدة من أكثر أدوات اختراق الآي-فون شمولاً التي تم توثيقها علناً على الإطلاق. بدأت قصتها في فبراير 2025 عندما تم رصدها لأول مرة بيد عملاء لشركة تجارية متخصصة في بيع برامج المراقبة. ولكن، كأي قطعة سلاح فتاكة، لم تبقَ في يد جهة واحدة؛ فبحلول صيف 2025، ظهرت نفس الأدوات في هجمات شنتها مجموعة تجسس روسية استهدفت مستخدمين في أوكرانيا عبر مواقع مشبوهة.
المثير للسخرية (والقلق في آن واحد) هو ما حدث لاحقاً في نهاية 2025، حيث انتقلت هذه التقنيات العالية إلى أيدي مجرمين صينيين بدافع مالي بحت، حيث استخدموها لزرع فخاخ في مواقع وهمية للعملات المشفرة والبنوك. هذا الانتقال يثبت أن سوق البرمجيات الخبيثة نشط جداً، وأن الثغرات التي كانت حكراً على الدول أصبحت متاحة لمن يدفع، تماماً مثل شراء هاتف قديم من سوق المستعمل ولكن بنوايا خبيثة جداً.
ذكاء تكنولوجي في خدمة التخريب
هذه الحزمة ليست مجرد كود عشوائي، بل هي هندسة برمجية متطورة للغاية. عندما يزور المستخدم -سيئ الحظ- موقعاً مصاباً، تقوم الحزمة فوراً بتحليل جهاز الآي-فون الخاص به، وتحديد موديله، وإصدار النظام الذي يعمل به. وبناءً على هذه المعلومات، تختار الحزمة “الرصاصة المناسبة” من بين 23 ثغرة أمنية مخزنة في جعبتها، لتنفيذ الهجوم بدقة متناهية.
تستهدف هذه الحزمة إصدارات النظام من iOS 13.0 وصولاً إلى iOS 17.2.1. الكود البرمجي للهجوم مشفر بقوة ومغلف بتنسيق مخصص ابتكره المطورون لتعقيد مهمة الباحثين الأمنيين في تحليله. بل إن المطورين تركوا ملاحظات مفصلة باللغة الإنجليزية داخل الكود تشرح كيفية عمل كل جزء، مما يشير إلى احترافية عالية (وشريرة) في بناء هذا الوحش البرمجي.
وهذا يدل على مدى أهمية ترقية نظام جهازك لأحدث إصدار
عين الهاكرز على محفظتك (والملاحظات أيضاً!)
الهدف النهائي من Coruna ليس مجرد التلصص، بل الوصول إلى المال. تم تصميم الحزمة للارتباط بـ 18 تطبيقاً مختلفاً للعملات المشفرة لسرقة بيانات الاعتماد. وليس هذا فحسب، بل يمكن للبرمجية فك تشفير أكواد QR من الصور المخزنة على الجهاز، ومسح النصوص بحثاً عن كلمات المرور الاحتياطية (Seed Phrases) أو عبارات مثل “حساب بنكي” أو “نسخة احتياطية”.
والأمر الذي يجب أن يحذرك حقاً هو قدرتها على مسح تطبيق “الملاحظات” (Apple Notes) بحثاً عن أي بيانات حساسة قد تكون تركتها هناك ظناً منك أنها آمنة. لذا، إذا كنت لا تزال تحتفظ بكلمات سرك في الملاحظات، فقد حان الوقت لتغيير هذه العادة السيئة فوراً.
نمط الإغلاق: البطل الذي لم يرتدِ عباءة
وسط كل هذه الأخبار المرعبة، هناك بطل واحد استطاع الصمود. تقرير جوجل أكد حقيقة مذهلة: بمجرد أن يكتشف كود الاختراق أن المستخدم قد قام بتفعيل “نمط الإغلاق” (Lockdown Mode) على جهاز الآي-فون، فإنه ينسحب فوراً! الحزمة لا تحاول حتى الهجوم، لأن القيود الأمنية الصارمة التي يفرضها هذا النمط تجعل محاولات الاختراق غير مجدية ومكلفة تقنياً.
هذه شهادة نجاح كبرى لشركة آبل؛ فنمط الإغلاق الذي قد يراه البعض معقداً أو يحد من بعض الوظائف، أثبت أنه الحصن المنيع الذي تعجز أمامه 23 ثغرة متطورة. إذا كنت تشعر أنك مستهدف أو تعمل في مجال حساس، فلا تتردد في تفعيل هذا النمط، فهو حرفياً يجعل الهاكرز يحزمون حقائبهم ويرحلون.
المصدر:
6 تعليق