Ресурс Wikileaks опубликовал очередную порцию секретных документов, в которых содержится информация о хакерских инструментах ЦРУ, применяемых для взлома техники Apple в рамках программы Vault 7. По данным источника, ведомство разработало способы взлома iPhone и бесследного заражения MacBook.
Документы программы «Темная материя» представляют собой подробные инструкции по использованию каждого конкретного инструмента, но большинство из них были протестированы ЦРУ еще семь лет назад.
Один из инструментов для заражения MacBook назывался Sonic Screwdriver. Он позволял заражать ноутбуки через USB или Thunderbolt порты при физическом доступе к устройству.
В документе говорится, что вирус записывался на переходник Thunderbolt-Ethernet, достаточно было вставить его в разъем и включить устройство. При этом заразить адаптер можно было как заранее, так и на месте, с помощью специального образа, который ЦРУ рекомендует записать на USB или CD-диск. Перепрошивка флеш-памяти не несла прямой угрозы, однако измененное программное обеспечение воспроизводило заданный код, в том числе и вредоносный.
Уязвимость работала на всей модельной линейке MacBook 2011-12 годов. Документы по Sonic Screwdriver датированы 2012 годом, а впервые публично уязвимость обнаружили в 2015 году на хакерской конференции Black Hat. В том же году Apple официально закрыла эту лазейку.
Две другие программы — Triton и DerStarke — рассчитаны на автономную работу. Triton могла получить доступ ко всем файлам на компьютере пользователя и переслать их в ЦРУ. Разработчики позаботились о защите: инструмент удалялся с устройства незаметно для пользователя. Triton работал в двух режимах — автоматическом и с одноразовыми задачами.
В режиме «шпиона» программа незаметно собирала данные и периодически подавала сигналы о своих действиях оператору. «Немедленные» задачи Triton мог выполнить только один раз, например, скачать файлы из указанной папки или что-то туда положить. После включения скрипт с задачей бесследно удалялся из папки с эксплоитом.
DerStarke — это более изощренная версия Triton, которую нельзя было обнаружить на диске даже в скрытых разделах. Вирус внедрялся в UEFI-интерфейс системы и оставался активным даже после полной переустановки системы.
DerStarke оказался замаскирован еще лучше, чем Triton, он имитировал работу браузера, поэтому программы для просмотра исходящего трафика не показывали аномальной активности. Этой уязвимости были подвержены все модели MacBook с 2010 до 2013 годы выпуска, работающие на OS X 10.7, 10.8 и 10.9.
ЦРУ также использовало DarkSeaSkies, однако признало программу устаревшей и отказалось от эксплуатации в пользу Triton и DerStarke. В DarkSeaSkies входили три инструмента: DarkMatter, SeaPea и NightSkies. Каждый из них отвечал за свою область атаки: DarkMatter — за установку двух других программ, SeaPea прятал все файлы и вирусную активность от пользователя, а NightSkies обеспечивал удаленное управление ноутбуком для сотрудников ЦРУ и позволял получить доступ к файлам на компьютере.
Весь комплекс DarkSeaSkies работал только на Mac OS X 10.5. Кроме того, NightSkies версии 1.2 ЦРУ удалось приспособить для взлома первых моделей iPhone. Уязвимость работала только на iPhone 3G, и эксплуатировалась во времена, когда самой iOS еще не существовало, а в iPhone OS не было магазина приложений.
ЦРУ создало версию прошивки устройства, которая с помощью вредоносного кода давала возможность получать доступ к SMS, контактной книге и журналу вызовов. В случае, если сотрудникам ведомства понадобилось бы обновить прошивку, они могли бы сделать это удаленно и даже установить новые инструменты.
Для использования уязвимости агенту нужно было подключить iPhone к компьютеру и вручную загрузить неофициальную версию системы. Сейчас эксплуатировать лазейку было бы невозможно, так как Apple не дает установить старые версии операционной системы даже через iTunes при наличии специального образа. Перед установкой все прошивки проходят проверку на серверах компании.
Представители Apple сначала отказались комментировать ситуацию, но на следующий день после публикации Wikileaks заявили о закрытии уязвимостей:
«Мы провели предварительное расследование на основе документов Wikileaks. На основе нашего внутреннего анализа мы можем заявить, что потенциальная уязвимость iPhone касалась только версии 3G и была устранена в 2009 году с выходом iPhone 3GS.
Кроме того, предварительные исследования показывают, что все упомянутые в документах уязвимости в MacBook, выпущенных после 2013 года, были ранее исправлены. Мы не обменивались с Wikileaks какой-либо информацией. Мы готовы были предоставить им любую информацию согласно нашим стандартным правилам.
Также мы не получали информации от этой организации вне публичного поля. Мы неустанно защищаем безопасность и конфиденциальность наших пользователей, но мы не оправдываем кражу (документов) или работу с теми, кто угрожает нашим пользователям», — пресс-служба Apple.