23 марта Wikileaks опубликовала новую порцию секретных документов, в которых содержится информация о хакерских инструментах ЦРУ в рамках Vault 7. Обнародованные бумаги указывают на то, что ведомство разработало способ взлома айфонов и научилось бесследно заражать макбуки.
Документы программы «Тёмная материя» представляют собой подробные инструкции по использованию каждого конкретного инструмента, но большинство из них были протестированы ЦРУ ещё семь лет назад.
Sonic Screwdriver
Один из инструментов для заражения макбуков назывался «Sonic Screwdriver» и заражал устройства через USB или Thunderbolt-порты при физическом доступе к ноутбуку.
В документе говорится, что вирус записывался на переходник Thunderbolt-Ethernet: достаточно было вставить его в разъём и включить устройство.
При этом заразить адаптер можно было как заранее, так и на месте, с помощью специального образа, который ЦРУ рекомендует записать на USB или CD-диск. Перепрошивка флеш-памяти аксессуара не несла прямой угрозы, однако изменённое программное обеспечение воспроизводило заданный код, в том числе и вредоносный. Уязвимость работала на всей модельной линейке Macbook 2011-12 годов.
Документы по Sonic Screwdriver датированы 2012 годом, а впервые публично уязвимость обнаружили в 2015 году на хакерской конференции Black Hat. В тот же год Apple официально закрыла эту лазейку.
Triton
Две другие программы — Triton и DerStarke — рассчитаны на автономную работу.
Triton мог получить доступ ко всем файлам на компьютере пользователя и переслать их в ЦРУ. Разработчики позаботились о защите: инструмент удалялся с устройства незаметно для пользователя. Triton работал в двух режимах — автоматическом и с одноразовыми задачами.
В режиме «шпиона» программа незаметно собирала данные и периодически подавала сигналы о своих действиях оператору. «Немедленные» задачи Triton мог выполнить только один раз, например, скачать файлы из указанной папки или что-то туда положить. После включения скрипт с задачей бесследно удалялся из папки с эксплоитом.
DerStarke
DerStarke — это более изощрённая версия Triton, которую нельзя было обнаружить на диске даже в скрытых разделах. Вирус внедрялся в UEFI-интерфейс системы (его основная функция — корректная загрузка ноутбуков) и оставался активным даже после полной переустановки системы.
Основная цель Triton заключалась в манипуляции с файлами пользователей. Но, в отличие от предшественника, DerStarke оказался замаскирован ещё лучше: он имитировал работу браузера, поэтому программы для просмотра исходящего траффика не показывали аномальной активности. Этой уязвимости были подвержены все макбуки с 2010 до 2013 года выпуска, работающие на OS X 10.7, 10.8 и 10.9.
DarkSeaSkies
ЦРУ также использовало DarkSeaSkies, однако признало программу устаревшей и отказалось от эксплуатации в пользу Triton и DerStarke.
В DarkSeaSkies входили три инструмента — DarkMatter, SeaPea и NightSkies. Каждый из них отвечал за свою область атаки: DarkMatter — за установку двух других программ, SeaPea прятал все файлы и вирусную активность от пользователя, а NightSkies обеспечивал удалённое управление ноутбуком для сотрудников ЦРУ и позволял получить доступ к файлам на компьютере. Весь комплекс DarkSeaSkies работал только на Mac OS X 10.5.
Кроме того, NightSkies версии 1.2 ЦРУ удалось приспособить для взлома первых моделей айфонов. Уязвимость работала только на iPhone 3G, и эксплуатировалась во времена, когда самой iOS ещё не существовало, а в iPhone OS не было магазина приложений.
ЦРУ создало версию прошивки устройства, которая с помощью вредоносного кода давала возможность получать доступ к SMS, контактной книге и журналу вызовов. В случае, если сотрудникам ведомства понадобилось бы обновить прошивку, они могли бы сделать это удалённо и даже установить новые инструменты. Для использования уязвимости агенту нужно было подключить айфон к компьютеру и вручную загрузить неофициальную версию системы.
Как заметил редактор TechCrunch Ромэн Диллет (Romain Dillet), сейчас эксплуатировать лазейку было бы невозможно, так как Apple не даёт установить старые версии системы даже через iTunes при наличии специального образа. Перед установкой все прошивки проходят проверку на серверах компании.
Реакция
Представители Apple сначала отказались комментировать ситуацию, но на следующий день после публикации Wikileaks заявили о закрытии уязвимостей.
Мы провели предварительное расследование на основе документов Wikileaks. На основе нашего внутреннего анализа мы можем заявить, что потенциальная уязвимость iPhone касалась только версии 3G и была устранена в 2009 году с выходом iPhone 3GS.
Кроме того, предварительные исследования показывают, что все упомянутые в документах уязвимости в макбуках, выпущенных после 2013 года, были ранее исправлены.
Мы не обменивались с Wikileaks какой-либо информацией. Мы готовы были предоставить им любую информацию согласно нашим стандартным правилам. Также мы не получали информации от этой организации вне публичного поля.
Мы неустанно защищаем безопасность и конфиденциальность наших пользователей, но мы не оправдываем кражу (документов) или работу с теми, кто угрожает нашим пользователям.
Пресс-служба Apple
С полным текстом обнародованных документов можно ознакомиться в разделе на сайте WikiLeaks.
7 марта WikiLeaks опубликовал первую часть архива Центра киберразведки ЦРУ из 8761 документов и файлов. В них обнаружили упоминания программного обеспечения для слежки за пользователями айфонов, Android-смартфонов и Smart TV. После утечки спецслужба устроила проверку среди подрядчиков, разрабатывавших для неё софт, и заподозрила в передаче секретной информации группу программистов.
