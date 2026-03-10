У 2025 році російські розвідувальні групи застосовували складний набір хакерських інструментів для атак на користувачів iPhone в Україні, що, за даними дослідників безпеки, походив із розробок американського військового підрядника.

Про це, як пише Delo.ua, свідчать результати розслідування, оприлюднені аналітиками Google та незалежними експертами у сфері кібербезпеки, зокрема мобільної — компанією iVerify та журналістами TechCrunch.

Що саме використовували зловмисники

За даними Google, упродовж 2025 року була виявлена серія глобальних атак iPhone, у яких задіяли складний набір експлойтів (програма або код, що використовує недоліки в системі безпеки для інфікування пристрою) і шпигунських інструментів, що отримав назву Coruna.

Цей набір складався з 23 компонентів, які спочатку застосовувалися в "цільових операціях" одним із урядів — замовником невказаного "постачальника стеження".

Потім Coruna була використана російськими спецслужбами проти обмеженої кількості користувачів в Україні через скомпрометовані вебсайти. Згодом частина компонентів перейшла до китайських кіберзлочинців, які використали їх для широкомасштабних атак з крадіжки грошей і криптовалют.

За даними iVerify, Coruna могла бути створена компанією, що продавала його уряду США. Двоє колишніх співробітників підрядника L3Harris, який виготовляє хакерське та шпигунське програмне забезпечення, підтвердили TechCrunch, що частина інструментів Coruna була розроблена у підрозділі компанії. Обидва розробники говорили анонімно, оскільки не мали права обговорювати свою роботу.

"Coruna був внутрішньою назвою одного з компонентів", — зазначив один із них, посилаючись на технічні дані, опубліковані Google.

Що означає це для України

Для України, де значна частина населення користується iPhone, виявлення зловмисних кампаній такого рівня — тривожний сигнал про те, що кібератаки стають дедалі складнішими і адаптованими під локальні аудиторії.

Російські спецслужби намагалися використати Coruna для цілеспрямованих атак саме на українських користувачів, що виводить питання кібербезпеки за межі загальної глобальної загрози і робить його елементом сучасної гібридної війни.

Як Coruna потрапив до Росії

L3Harris займається продажем інструментів своєї шпигунської платформи виключно американському уряду та його союзникам у так званому альянсі Five Eyes (США, Велика Британія, Канада, Австралія, Нова Зеландія).

Оглядачі відзначають, що Coruna могла бути первинно придбаною однією з розвідувальних служб цих країн, але як саме комплект опинився у руках російських хакерів, точно невідомо.

Можливим ключовим епізодом стала справа австралійця Пітера Вільямса — колишнього менеджера Trenchant, якого в 2025 році засудили до семи років ув’язнення за крадіжку й передачу восьми шпигунських інструментів компанії Operation Zero, що пропонує мільйони доларів за "zero‑day" вразливості.

Частина цих інструментів потім, за даними Мінфіну США, опинилася у "неавторизованих користувачів", включно з російськими спецслужбами, зокрема групою UNC6353, і використовувалася проти українських iPhone через спеціальні сайти зі шкідливим кодом.

Технічна складова та масштаби

Аналітики відзначили, що Coruna був здатен атакувати пристрої під управлінням iOS з версій 13 до 17.2.1 — охоплюючи моделі iPhone, що випускалися з 2019 до кінця 2023 року. Деякі експлойти у складі Coruna містилися і в іншій відомій хакерській операції під назвою Operation Triangulation, що була вперше виявлена ще у 2023 році.

"Найкраще пояснення того, що відомо зараз, — Coruna був розробкою деяких елементів Trenchant і використовувався урядом США чи союзниками до того, як опинився у зловмисників", — зазначив співзасновник iVerify Рокі Коул.

Окремі дослідники вказують, що деякі експлойти в Coruna мають назви, схожі на ті, що використовувалися раніше в проектах L3Harris та її дочірніх компаній, що може свідчити про реальне походження частини коду.

Реакція компаній та слідство

Представник L3Harris не відповів на запит щодо участі компанії у розробці Coruna. Жодних офіційних заяв з цього приводу не оприлюднювали також Apple, Google, Kaspersky чи Operation Zero.

Водночас американські прокурори неодноразово наголошували, що витік інструментів, які можуть відкривати доступ до мільйонів пристроїв, має серйозні наслідки навіть для національної безпеки США та їхніх союзників.

