CIA泄露文檔第二彈「Dark Matter」:剛出廠的iPhone就感染惡意程序
維基解密發布第二波Vault 7泄露文件,名為「暗物質(Dark Matter)」。
這次泄露的文檔主要是相關CIA入侵蘋果Mac和iOS設備的技術與工具的。這些入侵工具和技術是CIA旗下的嵌入式開發部門EDB開發的。
文檔中提到,CIA有能力感染蘋果固件,對macOS和iOS設備做到持續監聽,即便系統重裝也沒用。
其中一款針對iPhone的NightSkies 1.2入侵工具更是讓人汗顏:據說CIA至少從2008年開始就深入到了iPhone供應鏈,這款工具出廠的時候就已經安裝在了iPhone之上——據說具體是在運輸過程中感染的。
還有如DarkSeaSkies這樣的工具,感染MacBook Air的EFI固件,長期駐留。我們來看看這具體都是些什麼樣的工具。
泄密文件中提到了多款工具,分別是:
Sonic Screwdriver
Der Starke
Triton
DarkSeaSkies
NightSkies
SeaPea
Sonic Screwdriver
一份2012年1月的文檔揭露了」Sonic Screwdriver」項目的細節。根據CIA的描述,這是一套「在Mac電腦啟動時執行外部設備中的代碼的機制「。
文檔中提到的攻擊手法是通過插到Thunderbolt埠的乙太網適配器訪問Mac電腦的固件。黑客可以藉此從其他外部設備如U盤、外置硬碟向電腦中植入惡意軟體,並且根據文檔的描述,即便設備存在固件密碼也可以輕鬆繞過。
一個典型的攻擊場景是使用Sonic Screwdriver將系統引導到Linux live CD,隨後從Linux系統中讀取Macbook上的分區和數據。
Der Starke
而另一份CIA文檔中提到的Der Starke則是一款「無磁碟版的、並能夠駐足EFI的Triton「,這是一款針對Mac OS X的能夠自動化植入病毒的軟體,植入的病毒就是能夠竊取數據並發往遠程伺服器的惡意軟體。
EFI和UEFI是用於啟動和配置電腦硬體組件的底層固件,它們會在操作系統啟動前啟動,其實是可以看作是新版的BIOS系統。
針對EFI的惡意軟體可以在啟動階段向操作系統內核植入惡意代碼。更可怕的是,即便用戶重裝或者替換硬碟,惡意軟體依然會存在。
DarkSeaSkies
除此之外,一份2009年的文檔還提到了另一款比較老的病毒植入軟體,名字叫DarkSeaSkies。同樣地,這款軟體也具備用來駐足EFI的模塊,還包含一個名叫Nightskies的用戶空間模塊。
Nightskies
有趣的是,Nightskies原本是針對iPhone的,之後再被移植給Macbook Air使用。根據維基解密提供的文檔,iPhone版本的Nightskies是安裝到剛出廠的手機的。
也就是說,
CIA可能早在2008年已經開始供應鏈環節做了手腳,可能會在設備到達買家手裡之前截獲並感染電子設備,2013年Edward Snowden泄露的文件曾經顯示美國國安局有這樣的行為。
把病毒安裝到Mac電腦的EFI並不新穎。澳大利亞的安全研究員Loukas K(aka Snare)就曾在2012年的Black Hat大會上演示過一款針對Mac電腦EFI惡意軟體的poc,之後他就受雇於蘋果公司了。
事件影響
首批Vault 7的泄露文件實際上總結了CIA的攻擊能力,還展示了CIA對各種設備進行監控的能力。而實際的exp都沒有發布,公開的信息沒有揭露任何複雜精細的工具,很多漏洞都在事前已經被大眾知曉了。
即便如出廠iPhone就感染惡意程序這一點頗有震懾力,但在NSA、CIA各路文檔的狂轟濫炸下,這次的「暗物質「泄露事件也就也沒有料想中的恐怖,因為這些攻擊都需要物理接觸。
UC Berkeley國際計算機科學學院的研究員Nicholas Weaver認為,這類的攻擊很有局限性,基本上攻擊者得要知道這些設備是誰買的,送到哪裡去。而對於那種在商店裡賣的設備,CIA也沒有足夠的人力去植入惡意軟體。
除此之外,Weaver還觀察到了CIA的人工情報能力。
文檔中提到特工有條件把(植入病毒的)MacBook Air交給目標,而Der Starke的存在表明那些特工有條件接觸到目標人物的電腦並且能夠短暫使用。
*參考來源:
SecurityWeek
,本文作者:Sphinx,轉載請註明來自FreeBuf.COM
※瘋狂的身份證 | 一張身份證如何攻破人臉識別技術
※網路空間搜索引擎全方位評測
※潛伏7年的Linux內核漏洞CVE-2017-2636曝光,可本地提權
※Pwn2Own賽況追蹤 | 中國戰隊連下幾城,Edge、Safari、Ubuntu相繼遭秒破
※【企業研究報告】新一代防火牆的撕X大戲:Palo Alto Networks安全公司全解讀
TAG:FreeBuf |
※CIA Angelfire:專門感染Windows的惡意軟體框架
※用傳統工匠精神感染你!Onitsuka Tiger NIPPONMADE 系列
※F-Secure:盜版Windows用戶最易感染WannaCry勒索軟體
※呼吸道合胞病毒感染Respiratory Syncytial Virus
※NSA 泄露的惡意軟體 DoublePulsar 已感染 3.6 萬台設備
※MedicalNewsToday發布指南:如何自我判斷是否感染HIV?
※Science signaling:IRE1α通過促凋亡抵抗促進病毒感染
※Check Point:惡意軟體 CopyCat 感染全球 1,400 萬部 Android 設備
※Nat Rev Microbiol:細胞外囊泡對病毒感染的影響
※微軟 Word 宏惡意軟體可以同時感染 Mac 和 Windows
※PLoS Pathog:利用CRISPR/Cas9有望靶向清除多種皰疹病毒感染
※如果你沒被WannaCry感染就一定要小心Adylkuzz
※超過4000台Elasticsearch伺服器被POS惡意軟體感染
※Mac用戶注意了!WannaCry病毒太猖狂 Mac也有被感染風險
※Elasticsearche殭屍網路:超過4000台伺服器遭到兩款POS 惡意軟體感染
※WannaCry感染了NHS蘇格蘭1500台Windows XP電腦
※部分Mac設備感染FruitFly惡意監控軟體
※部分Mac設備感染FruitFly惡意監控軟體
※IBM警告部分Storwize初始化USB工具盤被惡意軟體感染