CIA泄露文檔第二彈「Dark Matter」：剛出廠的iPhone就感染惡意程序

維基解密發布第二波Vault 7泄露文件，名為「暗物質（Dark Matter）」。

這次泄露的文檔主要是相關CIA入侵蘋果Mac和iOS設備的技術與工具的。這些入侵工具和技術是CIA旗下的嵌入式開發部門EDB開發的。

文檔中提到，CIA有能力感染蘋果固件，對macOS和iOS設備做到持續監聽，即便系統重裝也沒用。

其中一款針對iPhone的NightSkies 1.2入侵工具更是讓人汗顏：據說CIA至少從2008年開始就深入到了iPhone供應鏈，這款工具出廠的時候就已經安裝在了iPhone之上——據說具體是在運輸過程中感染的。

還有如DarkSeaSkies這樣的工具，感染MacBook Air的EFI固件，長期駐留。我們來看看這具體都是些什麼樣的工具。

泄密文件中提到了多款工具，分別是：

Sonic Screwdriver

Der Starke

Triton

DarkSeaSkies

NightSkies

SeaPea

Sonic Screwdriver

一份2012年1月的文檔揭露了」Sonic Screwdriver」項目的細節。根據CIA的描述，這是一套「在Mac電腦啟動時執行外部設備中的代碼的機制「。

文檔中提到的攻擊手法是通過插到Thunderbolt埠的乙太網適配器訪問Mac電腦的固件。黑客可以藉此從其他外部設備如U盤、外置硬碟向電腦中植入惡意軟體，並且根據文檔的描述，即便設備存在固件密碼也可以輕鬆繞過。

一個典型的攻擊場景是使用Sonic Screwdriver將系統引導到Linux live CD，隨後從Linux系統中讀取Macbook上的分區和數據。

Der Starke

而另一份CIA文檔中提到的Der Starke則是一款「無磁碟版的、並能夠駐足EFI的Triton「，這是一款針對Mac OS X的能夠自動化植入病毒的軟體，植入的病毒就是能夠竊取數據並發往遠程伺服器的惡意軟體。

EFI和UEFI是用於啟動和配置電腦硬體組件的底層固件，它們會在操作系統啟動前啟動，其實是可以看作是新版的BIOS系統。

針對EFI的惡意軟體可以在啟動階段向操作系統內核植入惡意代碼。更可怕的是，即便用戶重裝或者替換硬碟，惡意軟體依然會存在。

DarkSeaSkies

除此之外，一份2009年的文檔還提到了另一款比較老的病毒植入軟體，名字叫DarkSeaSkies。同樣地，這款軟體也具備用來駐足EFI的模塊，還包含一個名叫Nightskies的用戶空間模塊。

Nightskies

有趣的是，Nightskies原本是針對iPhone的，之後再被移植給Macbook Air使用。根據維基解密提供的文檔，iPhone版本的Nightskies是安裝到剛出廠的手機的。

也就是說，

CIA可能早在2008年已經開始供應鏈環節做了手腳，可能會在設備到達買家手裡之前截獲並感染電子設備，2013年Edward Snowden泄露的文件曾經顯示美國國安局有這樣的行為。

把病毒安裝到Mac電腦的EFI並不新穎。澳大利亞的安全研究員Loukas K（aka Snare）就曾在2012年的Black Hat大會上演示過一款針對Mac電腦EFI惡意軟體的poc，之後他就受雇於蘋果公司了。

事件影響

首批Vault 7的泄露文件實際上總結了CIA的攻擊能力，還展示了CIA對各種設備進行監控的能力。而實際的exp都沒有發布，公開的信息沒有揭露任何複雜精細的工具，很多漏洞都在事前已經被大眾知曉了。

即便如出廠iPhone就感染惡意程序這一點頗有震懾力，但在NSA、CIA各路文檔的狂轟濫炸下，這次的「暗物質「泄露事件也就也沒有料想中的恐怖，因為這些攻擊都需要物理接觸。

UC Berkeley國際計算機科學學院的研究員Nicholas Weaver認為，這類的攻擊很有局限性，基本上攻擊者得要知道這些設備是誰買的，送到哪裡去。而對於那種在商店裡賣的設備，CIA也沒有足夠的人力去植入惡意軟體。

除此之外，Weaver還觀察到了CIA的人工情報能力。

文檔中提到特工有條件把（植入病毒的）MacBook Air交給目標，而Der Starke的存在表明那些特工有條件接觸到目標人物的電腦並且能夠短暫使用。

*參考來源：

SecurityWeek

，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！