وتشير جوجل إلى أن شركة آبل قامت بتصحيح الثغرات الأمنية التي استخدمتها كورونا في أحدث إصدارات نظام تشغيل هواتفها المحمولة iOS 26، لذلك تم التأكد من أن تقنيات استغلالها تعمل فقط ضد iOS 13 حتى 17.2.1. إنه يستهدف الثغرات الأمنية في إطار عمل Webkit الخاص بشركة Apple للمتصفحات، لذا سيكون مستخدمو Safari على تلك الإصدارات الأقدم من iOS عرضة للخطر، ولكن لا توجد تقنيات مؤكدة في مجموعة الأدوات لاستهداف مستخدمي Chrome. تشير جوجل أيضًا إلى أن Coruna يتحقق مما إذا كانت أجهزة iOS ممكّنة بإعدادات الأمان الأكثر صرامة من Apple، والمعروفة باسم Lockdown Mode، ولا تحاول اختراقها إذا كان الأمر كذلك.
وعلى الرغم من هذه القيود، تقول iVerify إن فيروس كورونا أصاب على الأرجح عشرات الآلاف من الهواتف. تشاورت الشركة مع شريك لديه إمكانية الوصول إلى حركة مرور الشبكة وأحصت الزيارات إلى خادم القيادة والتحكم لإصدار المجرمين الإلكترونيين من فيروس كورونا الذي يصيب مواقع الويب باللغة الصينية. يشير حجم هذه الاتصالات، كما تقول iVerify، إلى أن ما يقرب من 42000 جهاز ربما تم اختراقها بالفعل باستخدام مجموعة الأدوات في الحملة الربحية وحدها.
ولا يزال من غير الواضح عدد الضحايا الآخرين الذين ربما يكون كورونا قد أصابهم، بما في ذلك الأوكرانيون الذين زاروا المواقع المصابة بالشفرة من خلال عملية التجسس الروسية المشتبه بها. ورفضت جوجل التعليق بما يتجاوز تقريرها المنشور. ولم تقدم شركة Apple تعليقًا على الفور على نتائج Google أو iVerify.
وفي تحليل iVerify لإصدار الجرائم الإلكترونية من Coruna – الذي لم يكن لديه إمكانية الوصول إلى أي من الإصدارات السابقة – وجدت الشركة أن الكود يبدو أنه تم تعديله لزرع برامج ضارة على الأجهزة المستهدفة المصممة لاستنزاف العملات المشفرة من محافظ العملات المشفرة وكذلك سرقة الصور، وفي بعض الحالات، رسائل البريد الإلكتروني. ومع ذلك، كانت هذه الإضافات “مكتوبة بشكل سيئ” مقارنة بمجموعة أدوات كورونا الأساسية، وفقًا لما ذكره سبنسر باركر، كبير مسؤولي المنتجات في iVerify، والذي وجد أنها مصقولة ونموذجية بشكل مثير للإعجاب.
يقول باركر عن الثغرات الموجودة في فيروس كورونا: “يا إلهي، هذه الأشياء مكتوبة بشكل احترافي للغاية”، مشيرًا إلى أن البرمجيات الخبيثة الأكثر فظاظة تمت إضافتها من قبل مجرمي الإنترنت الذين حصلوا لاحقًا على هذا الرمز.
أما بالنسبة للأدلة التي تشير إلى أصول كورونا كمجموعة أدوات حكومية أمريكية، يشير كول من iVerify إلى أنه من الممكن أن يتداخل كود كورونا مع كود عملية التثليث الذي قامت روسيا بتثبيته على المتسللين الأمريكيين، ويمكن أن يعتمد على مكونات التثليث التي يتم التقاطها وإعادة توظيفها بعد اكتشافها. لكن كول يرى أن هذا غير مرجح. ويشير إلى أن العديد من مكونات كورونا لم يتم رؤيتها من قبل، ويبدو أن مجموعة الأدوات بأكملها تم إنشاؤها بواسطة “مؤلف واحد”، على حد تعبيره.
يقول كول، الذي عمل سابقًا في وكالة الأمن القومي: “إن إطار العمل متماسك بشكل جيد للغاية”، لكنه يشير إلى أنه كان خارج الحكومة لأكثر من عقد من الزمن، ولا يبني أي نتائج على معرفته القديمة بأدوات القرصنة الأمريكية. “يبدو أنها مكتوبة ككل. ولا يبدو أنها تم تجميعها معًا.”
إذا كان فيروس كورونا، في الواقع، عبارة عن مجموعة أدوات قرصنة أمريكية أصبحت مارقة، فإن كيفية وصولها إلى أيادي أجنبية وإجرامية تظل لغزا. لكن كول يشير إلى صناعة الوسطاء الذين قد يدفعون عشرات الملايين من الدولارات مقابل تقنيات القرصنة الفورية التي يمكنهم إعادة بيعها لأغراض التجسس أو الجرائم الإلكترونية أو الحرب الإلكترونية. والجدير بالذكر أن بيتر ويليامز، وهو مسؤول تنفيذي في شركة المقاولات الحكومية الأمريكية ترينشانت، حُكم عليه هذا الشهر بالسجن لمدة سبع سنوات لبيع أدوات القرصنة إلى وسيط اليوم الصفر الروسي “عملية الصفر” من عام 2022 إلى عام 2025. وتشير مذكرة الحكم التي قدمها ويليامز إلى أن ترينشانت باع أدوات القرصنة لمجتمع الاستخبارات الأمريكي بالإضافة إلى آخرين في مجموعة “العيون الخمس” للحكومات الناطقة باللغة الإنجليزية – الولايات المتحدة والمملكة المتحدة وأستراليا وكندا ونيوزيلندا – على الرغم من أنه ليس من الواضح ما هي الأدوات المحددة التي باعها أو ما هي الأجهزة التي استهدفوها.
يقول كول: “يميل وسطاء يوم الصفر والاستغلال هؤلاء إلى أن يكونوا عديمي الضمير”. “إنهم يبيعون لمن يدفع أعلى سعر، ثم يقومون بالتخفيض المزدوج. كثير منهم ليس لديهم ترتيبات حصرية. وهذا على الأرجح ما حدث هنا”.
ويخلص كول إلى القول: “انتهى الأمر بإحدى هذه الأدوات في أيدي وسيط استغلال غير غربي، وقاموا ببيعها لمن كان على استعداد للدفع”. “لقد خرج الجني من القمقم.”
