多年来,CIA就知道iPhone植入程序和MacBook底层rootkit。
维基解密新放出的一批据说泄自CIA的文档显示:2012年起,该机构便利用工具连接恶意Thunderbolt网卡,以感染Mac机器。
其中一份2012年11月29的文件,是CIA信息作战中心的一份手册,说的是代号“音速改锥(Sonic Screwdriver)”的技术。该技术被描述为“Mac笔记本或桌面电脑启动时在外围设备上执行代码的机制。”
“音速改锥”让CIA得以修改苹果Thunderbolt网卡固件,强制MacBook从U盘或光盘启动——即便其启动选项受口令保护的情况下。
比如说,“音速改锥”可用于从 Linux live CD 启动,这样MacBook的分区和数据就可以从macOS外访问了。
更重要的是,被“音速改锥”修改过的网卡可用于执行 DerStarke ——一款无文件macOS恶意程序,在计算机可扩展固件接口(EFI)留有长期驻留组件。
EFI或UEFI(统一可扩展固件接口),是在操作系统启动前,初始化和配置计算机硬件组件的底层固件,相当于现代版BIOS。
EFI植入,或者rootkit,可以在启动过程中将恶意代码注入操作系统内核,即便系统完全重装了,或者硬盘驱动器换了,也都能继续驻留。
3月23日泄露的另一份CIA文档中,DerStarke 被描述为“无盘EFI驻留版Triton”。Triton是 Mac OS X 下课自动植入的间谍软件,它可以盗取数据并发送到远程服务器。
2009年的一份文档中,描述了名为“DarkSeaSkies”的 MacBook Air 恶意软件——一款可能是 DerStarke 前身的旧版植入物。这款恶意软件同样具有EFI驻留模块,且包含名为“Nightskies”的用户空间模块。
Nightskies是从iPhone上移植到 MacBook Air 中的。这也是它最引人注目的一点。维基解密上显示,iPhone版Nightskies是物理安装到原装出厂手机上的。
这表明,CIA染指了供应链。即在电子产品装运送达到最终买家手里之前,CIA很可能就已经拦截并感染了该设备。2013你那斯诺登泄露的文档里,已经透露出美国国家安全局(NSA)参与了类似活动。
在Mac计算机的EFI里安装rootkit并不新鲜。澳大利亚安全研究员劳卡斯·K(安全社区人称Snare),在2012年的黑客安全大会上,就演示过Mac机器 EFI rootkit 概念验证。Snare由此被苹果公司聘走。
2014年,另一位安全研究员特拉梅尔·哈德森,开发了从恶意Thunderbolt设备感染Mac机EFI的方法。苹果修复了一些相关漏洞,但随后一年里,哈德森又与鑫尔诺·科瓦和科里·卡楞伯格一起,开发了该漏洞利用的另一个版本,名为“Thunderstrike 2”。
苹果再次针对 Thunderstrike 2 相关漏洞做了修复。几个月后,科瓦和卡楞伯格被苹果公司聘用。
鉴于苹果公司目前至少有3名精于此道的安全研究员,且该公司自2012年起便强化了其固件的EFI漏洞防护,CIA的 DerStarke 植入可能对该公司最新版本设备无效。
苹果并未对评论请求做出立即回复。
2012年时,绕过EFI口令防护从外围设备可选ROM启动的方法就已经为人所知了,Snare的黑客大会演示中也提到过。CIA的“音速改锥”Thunderbolt网卡中所用的方法,在12月推出的 macOS Sierra 10.12.2 中就已被封。
本月早些时候维基解密放出第一批CIA文档后,英特尔安全推出了一款工具,帮助计算机管理员验证EFI/UEFI是否含有恶意代码。
23号的新闻发布会上,维基解密创始人阿桑奇称,新放出的文档仅仅是CIA文档缓存中的一小部分,维基解密掌握了大量文档,仅仅是尚未公布而已。
维基解密之前曾承诺,与受影响技术厂商共享CIA漏洞及漏洞利用程序的未公布信息。并且,该组织要求厂商同意某些条款才放出这些信息。
阿桑奇在23号澄清:这些条款不涉及金钱之类的东西,只是要厂商承诺在业界标准90天时限内修复这些漏洞;而一时难以修复漏洞的时限则会稍有放宽。
本文转自d1net(转载)
