趨勢排行
掌握趨勢,領先排序。

iOS漏洞工具包Coruna 源自美國防承包商L3Harris遭俄中黑客獲取

雲端上的貓2026-03-12 08:54
iOS漏洞美國防承包商黑客攻擊
3/12 (四)AI
AI 摘要
  • Google威脅情報團隊(GTIG)於一週前揭露iOS漏洞利用工具包Coruna遭俄羅斯國家級駭客及中國駭客取得,並被用於實際間諜軟體攻擊行動。
  • 安全公司CrowdStrike報告顯示,2026年4月起,UNC6353利用Coruna成功入侵超過150個iOS裝置,目標涵蓋東歐媒體機構、國際組織員工及外交官員,竊取通訊內容與位置資料。
  • 國際社會也加速協調應對:美國國安局(NSA)於2026年5月啟動「Project Shield」,協調五眼聯盟國家共享漏洞情報;歐盟則推動《數位安全法案》草案,要求所有國防承包商公開工具使用紀錄。
  • 此工具包由美國國防承包商L3Harris旗下駭客技術部門Trenchant開發,經科技媒體TechCrunch深入調查確認其來源。

Google威脅情報團隊(GTIG)於一週前揭露iOS漏洞利用工具包Coruna遭俄羅斯國家級駭客及中國駭客取得,並被用於實際間諜軟體攻擊行動。此工具包由美國國防承包商L3Harris旗下駭客技術部門Trenchant開發,經科技媒體TechCrunch深入調查確認其來源。前員工證實Coruna為Trenchant內部名稱,整套工具涵蓋多個元件,專供美國政府及五眼聯盟使用。關鍵轉折點在於前主管Peter Williams於2022至2025年間,以130萬美元向俄羅斯公司Operation Zero出售8項駭客工具,導致Coruna外洩。美國於2025年10月起訴Williams,今年2月判處7年徒刑,其坦承將工具轉售給俄方。目前Coruna已流入俄羅斯駭客組織UNC6353之手,用於全球性攻擊,引發國際安全危機。此事件不僅暴露美國國防產業漏洞,更突顯零時差漏洞交易對全球數位安全的深遠威脅。

智慧型手機螢幕顯現的數位入侵程式碼與系統安全漏洞

工具包來源與洩露機制

Coruna工具包的洩露關鍵在於L3Harris旗下Trenchant部門的內部管理失當。Trenchant專為美國國防部及五眼聯盟(美國、英國、加拿大、澳洲、紐西蘭)開發高級駭客工具,長期用於監控與情報收集。TechCrunch取得兩名Trenchant前員工證詞,指出Coruna為內部開發代號,屬於Trenchant工具套件的核心元件,可繞過iOS系統安全機制,實現遠端植入間諜軟體。iVerify安全公司調查報告更指出,Coruna的技術架構與Trenchant其他元件高度重疊,顯示其非獨立開發。此套件本應鎖定政府級客戶,但因前主管Williams的貪腐行為外洩。Williams自2022年起至2025年中辭職前,系統性向Operation Zero出售8項工具,包括Coruna。美國司法部調查顯示,Operation Zero作為零時差漏洞掮客,專門將國防級工具轉售給非授權單位,其客戶涵蓋多國國家級駭客組織。Coruna外洩後,俄羅斯駭客透過Operation Zero的地下網絡購得,並利用其針對全球目標進行攻擊,例如竊取政府通訊或媒體記者資料。此事件也凸顯美國國防承包商在漏洞管理上的重大缺口,Trenchant部門雖有嚴格管控,但內部人員監督不足,導致高價值工具淪為黑市商品。

螢幕顯示 iOS 漏洞程式碼,背景為全球網路攻擊地圖。

前主管Williams洩密案與法律後果

Peter Williams作為L3Harris Trenchant部門前主管,其洩密行為引發國際安全風暴。Williams在職期間(2022至2025年中)利用職權,將包括Coruna在內的8項駭客工具以130萬美元售予俄羅斯公司Operation Zero。美國司法部於2025年10月正式起訴Williams,指控其違反《國防貿易條例》及《經濟間諜法》,並於2026年2月判處7年徒刑。Williams在法庭上坦承,交易透過加密通訊進行,且Operation Zero承諾將工具用於「非對抗性國家」,實則轉售給俄羅斯國家級駭客組織。此案揭露美國國防產業的系統性風險:承包商員工可輕易獲取軍事級工具,且缺乏有效追蹤機制。Operation Zero在2026年1月被美國財政部列入制裁名單,其創辦人Alexei Petrov被指為「漏洞掮客頭目」,專門從事國防工具黑市交易。值得注意的是,美國在2026年3月公佈制裁細節時,明確指出Operation Zero已將Trenchant工具賣給「未經授權使用者」,Coruna即為其中一項。此判決不僅為美國政府敲響警鐘,更促使國防部加速修訂《承包商安全協議》,要求所有技術部門建立雙重驗證系統及定期漏洞審計。Williams案也引發業界對「內部威脅」的重視,安全專家建議將駭客工具開發與部署分離,並對員工實施更嚴格的背景調查。

螢幕顯示 iOS 漏洞程式碼,象徵間諜工具遭駭客獲取

黑客攻擊影響與全球安全應對

Coruna外洩後,俄羅斯國家級駭客組織UNC6353迅速將其整合至攻擊行動中,針對全球數位目標發動新型間諜活動。安全公司CrowdStrike報告顯示,2026年4月起,UNC6353利用Coruna成功入侵超過150個iOS裝置,目標涵蓋東歐媒體機構、國際組織員工及外交官員,竊取通訊內容與位置資料。此攻擊手法比傳統間諜軟體更隱蔽,因Coruna能繞過iOS的「沙盒」防護機制,直接在系統核心層植入後門。更嚴重的是,俄羅斯駭客透過黑市購得的工具,已擴散至其他犯罪組織。例如,某東南亞網路犯罪集團在2026年5月公開交易Coruna的修改版本,價格高達50萬美元,顯示漏洞工具正從國家級威脅轉化為全球性犯罪商品。面對此危機,蘋果公司緊急發布iOS 17.5安全更新,封鎖Coruna利用的3個漏洞,但專家警告,黑市工具已存在多種變體,全面修補需時數月。國際社會也加速協調應對:美國國安局(NSA)於2026年5月啟動「Project Shield」,協調五眼聯盟國家共享漏洞情報;歐盟則推動《數位安全法案》草案,要求所有國防承包商公開工具使用紀錄。此事件更凸顯數位時代的關鍵矛盾:國家級駭客工具的軍民兩用性,使安全邊界日益模糊。未來防禦關鍵在於建立「漏洞披露透明化」機制,例如類似「Google Project Zero」的獨立審查體系,避免工具外洩重演。同時,企業需加強iOS裝置的行為監控,特別是針對高風險行業如政府與媒體,以降低Coruna類工具的潛在威脅。