CIA泄露文档第二弹“Dark Matter”:刚出厂的iPhone就感染恶意程序

摘要

维基解密发布第二波Vault 7泄露文件,名为“暗物质(Dark Matter)”。 这次泄露的文档主要是相关CIA入侵苹果Mac和iOS设备的技术与工具的。这些入侵工具和技术是CIA旗下的嵌入式开发部门EDB开发的。文档中提到,CIA有能力感染苹果固件,对macOS和iOS设备做到持续监听,即便系统重装也没用。

CIA泄露文档第二弹“Dark Matter”:刚出厂的iPhone就感染恶意程序

维基解密发布第二波Vault 7泄露文件,名为“暗物质(Dark Matter)”。这次泄露的文档主要是相关CIA入侵苹果Mac和iOS设备的技术与工具的。这些入侵工具和技术是CIA旗下的嵌入式开发部门EDB开发的。文档中提到,CIA有能力感染苹果固件,对macOS和iOS设备做到持续监听,即便系统重装也没用。

其中一款针对iPhone的NightSkies 1.2入侵工具更是让人汗颜:据说CIA至少从2008年开始就深入到了iPhone供应链,这款工具出厂的时候就已经安装在了某些iPhone之上——据说具体是在运输过程中感染的。还有如DarkSeaSkies这样的工具,感染MacBook Air的EFI固件,长期驻留。我们来看看这具体都是些什么样的工具。

泄密文件中提到了多款工具,分别是:

Sonic Screwdriver

Der Starke

Triton

DarkSeaSkies

NightSkies

SeaPea

CIA泄露文档第二弹“Dark Matter”:刚出厂的iPhone就感染恶意程序

Sonic Screwdriver

一份2012年1月的文档揭露了”Sonic Screwdriver”项目的细节。根据CIA的描述,这是一套“在Mac电脑启动时执行外部设备中的代码的机制“。

文档中提到的攻击手法是通过插到Thunderbolt端口的以太网适配器访问Mac电脑的固件。黑客可以借此从其他外部设备如U盘、外置硬盘向电脑中植入恶意软件,并且根据文档的描述,即便设备存在固件密码也可以轻松绕过。

一个典型的攻击场景是使用Sonic Screwdriver将系统引导到Linux live CD,随后从Linux系统中读取Macbook上的分区和数据。

Der Starke

而另一份CIA文档中提到的Der Starke则是一款“无磁盘版的、并能够驻足EFI的Triton“,这是一款针对Mac OS X的能够自动化植入病毒的软件,植入的病毒就是能够窃取数据并发往远程服务器的恶意软件。

EFI和UEFI是用于启动和配置电脑硬件组件的底层固件,它们会在操作系统启动前启动,其实是可以看作是新版的BIOS系统。

针对EFI的恶意软件可以在启动阶段向操作系统内核植入恶意代码。更可怕的是,即便用户重装或者替换硬盘,恶意软件依然会存在。

DarkSeaSkies

除此之外,一份2009年的文档还提到了另一款比较老的病毒植入软件,名字叫DarkSeaSkies。同样地,这款软件也具备用来驻足EFI的模块,还包含一个名叫Nightskies的用户空间模块。

Nightskies

有趣的是,Nightskies原本是针对iPhone的,之后再被移植给Macbook Air使用。根据维基解密提供的文档,iPhone版本的Nightskies是安装到刚出厂的手机的。

也就是说,CIA可能早在2008年已经开始供应链环节做了手脚,可能会在设备到达买家手里之前截获并感染电子设备,2013年Edward Snowden泄露的文件曾经显示美国国安局有这样的行为。

把病毒安装到Mac电脑的EFI并不新颖。澳大利亚的安全研究员Loukas K(aka Snare)就曾在2012年的Black Hat大会上演示过一款针对Mac电脑EFI恶意软件的poc,之后他就受雇于苹果公司了。

事件影响

首批Vault 7的泄露文件实际上总结了CIA的攻击能力,还展示了CIA对各种设备进行监控的能力。而实际的exp都没有发布,公开的信息没有揭露任何复杂精细的工具,很多漏洞都在事前已经被大众知晓了。

即便如出厂iPhone就感染恶意程序这一点颇有震慑力,但在NSA、CIA各路文档的狂轰滥炸下,这次的“暗物质“泄露事件也就也没有料想中的恐怖,因为这些攻击都需要物理接触。

UC Berkeley国际计算机科学学院的研究员Nicholas Weaver认为,这类的攻击很有局限性,基本上攻击者得要知道这些设备是谁买的,送到哪里去。而对于那种在商店里卖的设备,CIA也没有足够的人力去植入恶意软件。

除此之外,Weaver还观察到了CIA的人工情报能力。

文档中提到特工有条件把(植入病毒的)MacBook Air交给目标,而Der Starke的存在表明那些特工有条件接触到目标人物的电脑并且能够短暂使用。

*参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.COM)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: