Umfangreiches iPhone-Spionagewerkzeug landet in Hacker-Kreisen

Sicherheitsforscher von Google haben ein neues Software-Werkzeug identifiziert, mit dessen Hilfe Angreifer Zugriff auf iPhones mit älteren iOS-Versionen erhalten können. Der Dokumentation zufolge reicht bereits der Besuch einer entsprechend präparierten Webseite aus, um die Schadsoftware auf dem Gerät zu installieren.

Ursprung im Umfeld staatlicher Überwachung?

Das mit dem Namen „Coruna“ versehene Exploit-Kit scheint im Auftrag der US-Regierung erstellt worden und zwischenzeitlich in die Hände von russischen Hackern gefallen zu sein. Dieser Umstand macht die Entdeckung besonders brisant. Das Magazin Wired berichtet davon, dass die Software neben Google auch durch die Sicherheitsfirma iVerify untersucht wurde. Deren Spezialisten sehen Hinweise darauf, dass es sich um um eine höchst aufwändige und kostspielige Entwicklung handelt, die eine entsprechende Auftragsarbeit vermuten lässt. Vor diesem Hintergrund stellt sich umso mehr die Frage, wie das Spionagewerkzeug in Hackerkreise gelangen konnte.

Bilder: Mikhail Nilov

Werkzeugkasten mit mehreren Angriffsmethoden

Die Software enthalte fünf vollständige Angriffsketten, mit deren Hilfe sich mehrere Sicherheitsmechanismen von Apples iPhone-Betriebssystem umgehen lassen. Insgesamt würden hierfür 23 verschiedene Schwachstellen in iOS ausgenutzt. Eine derart umfangreiche Sammlung von Angriffstechniken gelte unter Sicherheitsforschern als ungewöhnlich und deute darauf hin, dass erhebliche Ressourcen in die Entwicklung geflossen seien.

Die Sicherheitsforscher haben auch Komponenten einer als Triangulation bekannten Malware-Kampagne entdeckt, bei der Angreifer offensichtlich spezielles Wissen über versteckte Funktionen in Apple-Prozessoren hatten.

Nach Einschätzung der Forscher seien Teile des Codes bereits Anfang des vergangenen Jahres beobachtet worden. Einige Monate später sei eine weiterentwickelte Variante in einer mutmaßlichen Spionagekampagne aufgetaucht, die mit einer russischen Gruppe in Verbindung gebracht wird. Dabei sei der Schadcode in ukrainische Webseiten eingebettet worden. Später habe man das Werkzeug erneut entdeckt, diesmal in einer kriminell motivierten Kampagne. Dabei hätten manipulierte Webseiten für Kryptowährungen und Online-Glücksspiele Schadsoftware verteilt, die digitale Geldbörsen ausspähen sollte.

Sicherheitslücken durch Apple geschlossen

Apple hat die genutzten Sicherheitslücken mit seinen letzten Updates für iOS geschlossen. In der Folge sind nur Geräte gefährdet, auf denen noch iOS-Versionen zwischen 13 und 17.2.1 installiert sind. Eine Aktualisierung auf die jeweils neueste Version wird dringend empfohlen.