美國軍火商駭客工具外洩 全球iPhone用戶遭俄中集團攻擊

美國軍火商L3Harris Technologies旗下駭客部門Trenchant開發的高階iPhone駭客工具Coruna，近期被揭露已外流至俄羅斯政府駭客與中國網路犯罪集團手中，導致全球數百萬iPhone用戶遭針對性攻擊。該工具包含23個模組，2025年已於烏克蘭及中國多起攻擊事件中使用，目標涵蓋政府官員與金融用戶。洩密源頭為Trenchant前總經理彼得·威廉斯（Peter Williams），他於2022至2025年期間竊取8套工具，以130萬美元售予俄羅斯漏洞仲介公司Operation Zero，並於2024年被判刑7年。美國司法部指出，威廉斯濫用系統完全存取權限，使工具流入地下市場，攻擊者得以透過烏克蘭網站及加密貨幣平台竊取資料，波及iOS 13至iOS 17.2.1全系列裝置，影響2019至2023年推出的iPhone型號。

工具來源與洩密過程

Coruna工具最早由Trenchant為美國政府及「五眼聯盟」（包含澳洲、加拿大、紐西蘭、英國）開發，專用於精準情蒐任務。資安公司iVerify與Google聯合研究揭露，該工具設計與Trenchant內部模組高度相似，兩名前員工證實「Coruna確為內部模組名稱」。洩密關鍵在於威廉斯利用職權，於2022年非法下載工具包，透過Operation Zero轉售給俄羅斯駭客組織。Operation Zero作為漏洞仲介，專營政府級工具交易，其客戶包括俄羅斯聯邦安全局（FSB）及中國犯罪集團。司法文件顯示，威廉斯竊取的工具包含2023年曝光的Photon與Gallium漏洞，這些漏洞曾被用於「三角測量行動」（Operation Triangulation），2023年Kaspersky揭發俄國政府指控NSA監控外交人員，但後續研究證實漏洞可被多方重複利用。

俄中黑客組織的利用實例

俄羅斯駭客組織UNC6353已將Coruna部署於烏克蘭政府相關網站，當特定地理位置iPhone用戶造訪時，裝置自動遭入侵。Google安全團隊分析，該組織在2025年針對烏克蘭軍事網站發動攻擊，利用Gallium漏洞竊取通訊記錄，並透過地理定位鎖定目標。中國犯罪集團則將工具用於更大規模的金融犯罪，例如2024年針對加密貨幣交易所的攻擊行動，目標為竊取用戶私鑰與交易資料。資安專家指出，Coruna能繞過iOS 17.2.1的最新安全更新，其漏洞利用方式與2023年「三角測量行動」相同，但攻擊範圍擴大至全球，顯示工具已經過多次改寫與重售。Kaspersky研究員強調，僅憑漏洞被使用無法追溯來源，因俄、中雙方均會反向利用政府級工具，使攻擊者難以被追蹤。

資安風險與蘋果防護現況

Coruna外洩凸顯政府級駭客工具流入地下市場的長期威脅，此類工具因設計精細，往往能繞過數年內的系統更新。蘋果公司雖於2023年針對Photon漏洞發布iOS 17.2.1更新，但Coruna仍可攻擊舊版系統，使2019年推出的iPhone XR至iPhone 14系列用戶面臨高風險。資安機構提醒，犯罪集團會透過暗網定期更新工具，例如將Coruna與勒索軟體整合，近期已發現針對亞洲金融機構的新型攻擊模式。蘋果官方未回應此調查，但Google已將Coruna納入其安全資料庫，協助用戶檢測裝置是否遭入侵。專家建議用戶立即升級至iOS 17.4以上版本，並啟用「防駭客模式」，同時監控App授權清單。更關鍵的是，Trenchant部門的洩密事件已促使美國國會推動《政府級工具管控法案》，要求軍火商設置更嚴格的數據存取監控系統，避免類似事件重演。