维基解密发布CIA所使用的MacBook与iPhone入侵工具包
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全3月24日讯
维基解密于本周四发布了一批新的CIA内部文档,其内容揭示了该情报机构在过去十年中如何入侵苹果计算机与智能手机设备。此番曝光的12个文件夹提供了部分CIA所使用之方法与技术方案的相关结论,并指出其在多数情况下需要以物理访问方式入侵目标设备。
网络安全研究人员们在接受采访时表示,其中一部分最新文档被标记为2013年,且总体上证明了CIA方面拥有一套“强大的”Mac攻击工具包。苹果安全研究人员佩德罗·维拉萨指出,该情报机构在多种功能方面“领先于其公开披露的水平”。
一份维基解密新闻稿中提到
“这些文档说明CIA已经获得了对苹果Mac设备的‘持久性’入侵能力,具体包括Mac与iPhone设备,同时展示了其对EFI/UEFI以及固件恶意软件的实际应用。”
UEFI 代表着统一EFI规范,全称“统一的可扩展固件接口”(Unified Extensible Firmware Interface), 是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。其前身则被称为EFI规范。UEFI以及更早的EFI支持操作系统的引导进程。
入侵工具包
此轮泄露的文件中提到了一项功能,代号为“Sonic Screwdriver(音速螺丝刀)”且标记时间为2012年,其要求操作人员利用存储在雷电口转以太网适配器内的恶意软件对Mac设备施以感染。一旦其被安装在目标设备当中,该计算机将无法恢复至出厂默认设置。音速螺丝刀本身并不属于恶意软件变体,而可被视为一种构造,允许攻击者绕过固件密码以顺利传递恶意代码。
维基解密发布的CIA文档——“Dark Matter(暗物质)”系列
音速螺丝刀在功能方面与研究人员查麦尔·哈德森于2014年开发并公布的技术类似,而另一种类似的方法亦曾在2012年黑帽网络安全大会上由研究人员斯奈尔提出。
在另一份标记时间为2008年11月的文档中,则描述了一款名为“DarkSeaSkies(黑海天)”的恶意软件变种,其要求操作人员以物理方式访问目标MacBook。从理论角度讲,黑海天能够利用类似于音速螺丝刀的方式安装在目标设备当中。
黑海天运行在MacBook Air后台当中,允许攻击者实现命令与控制功能,其中包括文件传输。该植入恶意软件要求目标笔记本接入互联网。如果该病毒无法与“监听站”方面进行通信,则其会在一段时间后自动进行自毁。这种自我卸载功能似乎是为了阻止数字化取证工作的进行。
网络安全厂商ZeroFOX公司高级分析师乔纳森·尼古拉斯解释称,这种利用USB转以太网适配器的恶意软件安装方式似乎代表着这些入侵工具仅适用于单个目标,而无法实现大规模监控活动。
争议
此轮最新文档转储内容的最初争议点,源自维基解密声称其所列出的一项名为“NightSkies(夜天)”的恶意工具“旨在以物理方式面向刚刚出厂的iPhone设备进行安装。事实上至少自2008年开始,CIA方面已经感染了其目标iPhone供应链。”
然而该解密组织所发布的文件并没有提供任何具体资料,能够证明CIA方面曾渗透苹果工厂或者截取大批iPhone手机并向其中安装恶意软件。
与黑海天类似,夜天同时要求以物理方式访问目标智能手机方可实现安装。该恶意软件主要面向从未开机过的全新iPhone设备——因此维基解密给出了“刚刚出厂”这一描述。
维基解密发布的CIA文档——“暗物质”系列
根据一份标记时间为2008年7月的文件的描述,夜天是一款“面向苹果iPhone 3G v.21版本的信标/加载/植入工具……该恶意软件于后台运行并负责在设备上进行上传、下载及执行等功能。”
由维基解密方面发布的一份夜天恶意软件用户手册中解释称
“在被植入iPhone初次开机时,其需要首先进行激活而后方可使用。插入SIM卡并通过USB将该iPhone接入至iTunes。这时,该iPhone将在激活之后首先通过互联网与苹果服务器进行通信,因此应当采取必要措施以保护您的网络与硬件。”
不过网络安全研究人员尼古拉斯·维沃表示,维基解密作出的供应链断言存在误导嫌疑。
维沃在接受采访时指出,“如果有人能够以物理方式访问您的计算机,那这台计算机已经不再是‘你的’。向‘刚刚出厂’的设备中安装恶意软件并不属于大规模封锁式部署,而应是针对性交付:CIA锁定特定目标手机或者MacBook,这才是其对‘供应链’的常规关注范围。”
他还表示,‘供应链’封锁更适用于路由器这类大型、高成本、低数量且由美国运送至已知客户的情况……但并不适用于能够在当地商店中直接购买或者从所在国仓库中发货的场景。
此前由记者格伦·格林瓦尔德获得的保密国安局文件显示,2010年该机构员工会在互联网路由器到达目标地址前进行拦截,并将信标植入物安装至对应设备上。尽管维基解密发布的CIA文件并未显示后者执行过类似的操作,但这种可能性仍然存在。
本周四的CIA文件转储副本被称为“暗物质”,且距离维基解密上一轮大规模CIA文件发布已经过去了三周。上一轮曝光文件中涉及一系列不同数字间谍功能,且专门针对由各大主流技术厂商开发的特定软件产品。不久之后,维基解密主编朱利安·阿桑奇通过Twitter在线新闻发布会指出,目前公布的资料还不到其所获得的全部CIA文件的1%。
维基解密宣称,这批资料的来源为某家对CIA有所不满的国防承包商。
相关阅读:维基解密再曝美国情报机构惊天内幕 批露CIA网络武器库
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。