ABD merkezli askeri yüklenici L3Harris tarafından geliştirilen ve başlangıçta Batılı istihbarat servislerinin kullanımı için tasarlanan “Apple iPhone” hackleme kiti, Rus ve Çinli siber korsanların eline geçti. Google tarafından 2025 yılı boyunca yürütülen teknik incelemeler, “Coruna” adı verilen 23 bileşenli gelişmiş casusluk aracının Ukrayna ve Çin’deki Apple iPhone kullanıcılarına yönelik saldırılarda aktif olarak kullanıldığını ortaya koydu.
Siber güvenlik dünyasında büyük bir sızıntı skandalı olarak nitelendirilenn anılan gelişme, hassas casusluk teknolojilerinin denetimsiz şekilde el değiştirmesinin yarattığı küresel riskleri yeniden gündeme taşıdı.
ABD merkezli casusluk yazılımının sızdırılma süreci
L3Harris bünyesindeki Trenchant isimli siber operasyon biriminde üst düzey yönetici olarak görev yapan Peter Williams, savunma sanayii tarihinin en önemli teknoloji hırsızlıklarından birine imza attı. 2025 yılında görevinden ayrılan Williams, şirkete ait sekiz farklı hackleme aracını Rusya merkezli Operation Zero şirketine 1,3 milyon dolar karşılığında sattığını itiraf etti.
Geçtiğimiz ay yedi yıl hapis cezasına çarptırılan yöneticinin sızdırdığı yazılımlar, başlangıçta sadece ABD ve “Beş Göz” (Five Eyes) istihbarat ittifakı üyelerine satılmak üzere geliştirilmişti. Söz konusu sızıntı, Batılı savunma yüklenicilerinin iç güvenlik mekanizmalarındaki kırılganlığı ve stratejik siber silahların mali kazanç uğruna nasıl hasım devletlerin eline geçebileceğini açıkça gösteriyor.
Siber güvenlik kuruluşu iVerify uzmanları, Coruna kod adlı yazılımın mimarisini incelediklerinde, kod diziliminin doğrudan ABD hükümeti için üretilen sistemlerle örtüştüğünü kaydetti. Rus hükümeti destekli korsan gruplarına pazarlanan ilgili araçlar, zamanla Güney Koreli aracı kurumlar ve fidye yazılımı şebekeleri üzerinden Çinli siber suçluların da kullanımına sunuldu. Belirtilen karmaşık ağ, siber casusluk araçlarının bir kez sızdırıldıktan sonra küresel karaborsada nasıl defalarca el değiştirdiğini kanıtlıyor.
Özellikle Apple ekosisteminin kapalı devre yapısını aşmak üzere tasarlanan Photon ve Gallium gibi gelişmiş açıklar, söz konusu kitin içinde yer alan en tehlikeli bileşenler olarak tanımlanıyor. Rus ajanları anılan teknolojiyi Ukrayna sahasındaki askeri ve siyasi hedeflere karşı kullanırken, Çinli hacker grupları ise kripto para hırsızlığı gibi doğrudan mali kazanç odaklı operasyonlarda değerlendirdi. Dijital silahların kontrolsüz yayılımı, devletlerin siber savunma kapasitelerini zorlayan bir unsur haline gelmiş durumdadır.
Apple cihazlarını hedef alan Operation Triangulation bağlantısı
L3Harris tarafından üretilen Coruna yazılımı ile 2023 yılında siber güvenlik devi Kaspersky tarafından deşifre edilen “Operation Triangulation” saldırıları arasındaki teknik benzerlikler, sızıntının boyutlarını daha da derinleştiriyor.
Google uzmanları, Apple cihazlarının çekirdek seviyesindeki açıklarını hedef alan Photon ve Gallium modüllerinin, söz konusu geçmiş saldırılarda kullanılan yöntemlerle birebir aynı olduğunu belirtti. Rusya Federal Güvenlik Servisi, ilgili operasyon nedeniyle daha önce ABD Ulusal Güvenlik Ajansı’nı (NSA) suçlamış olsa da, sızan son veriler saldırıların kaynağının özel sektördeki bir savunma yüklenicisi olduğunu işaret ediyor.
Kaspersky uzmanlarının saldırı kampanyası için hazırladıkları logonun L3Harris şirket logosuyla sergilediği görsel benzerlik, siber güvenlik camiasında anılan teknoloji sızıntısının çok daha önceden gerçekleşmiş olabileceğine dair şüpheleri kuvvetlendiriyor.
Teknoloji dünyasında “sıfır gün” (zero-day) açığı olarak bilinen ve henüz yamalanmamış güvenlik açıklarını hedefleyen anılan araçlar, kullanıcı etkileşimi gerektirmeden cihazlara sızma kabiliyetine sahip bulunuyor. Eylül 2019 ile Aralık 2023 arasında piyasaya sürülen iOS 13 ve 17.2.1 arası sürümleri hedef alan Coruna’nın modül yapısı, yazılımın oldukça geniş bir zaman diliminde aktif olduğunu gösteriyor.
Apple markalı cihazların güvenliğini sarsan ilgili kodlarda yer alan “kuş isimleri” ve teknik terminoloji, kaynağın Batılı bir savunma yüklenicisi olduğu tezini destekliyor. Bahsi geçen casusluk araçlarının kontrolsüz şekilde hasım devletlerin ve suç örgütlerinin eline geçmesi, sadece yüksek risk grubundaki kişileri değil, dijital dünyadaki tüm kullanıcıların veri gizliliğini tehdit eden sistemik bir soruna dönüşmüştür.
Sektör temsilcileri, siber silahların ticaretine yönelik daha sıkı uluslararası denetimlerin getirilmesi gerektiğini savunurken, L3Harris ve iştirakleri konuya dair sessizliğini korumaya devam ediyor.
