Изготовленный в 2012 году в ЦРУ адаптер Apple Thunderbolt-to-Ethernet, в прошивке которого записан код Sonic Screwdriver (как звуковая отвёртка из «Доктора Кто») для запуска программы с периферийного устройства, даже если Mac защищён паролем. Так можно загрузиться с флешки/CD/DVD и установить инструменты на компьютер, не снимая пароль с Mac

Хотя Джулиан Ассанж говорил, что первая порция Year Zero представляет собой менее 1% от общей подборки документов ЦРУ Vault 7, но пока не торопится публиковать продолжение. Сегодня WikiLeaks выложил скромную подборку из 12 документов Dark Matter. Эта подборка датируется 2008-2009 годом плюс два документа за 2012-2013 годы и эксклюзивно посвящена инструментам для взлома компьютеров Mac и телефонов iPhone. В основном, это руководства пользователя по использованию программ.

Документы доказывают, что ЦРУ с давних времён постоянно взламывало защиту устройств Apple различными способами. В списке взломанных есть абсолютно все модели ноутбуков MacBook Pro и MacBook Air до конца 2013 года выпуска, последняя модель — MacBook Pro 11,2 (15" Retina). Трудно сомневаться, что аналог­ичные инструменты имеются у ЦРУ и для всех последующих моделей, просто WikiLeaks почему-то не опубликовало описание этих более современных имплантов.

Многие представленные инструменты в подборке Dark Matter взаимодействуют на уровне прошивки EFI/UEFI (как BIOS). Это значит, что на них не действует парольная защита. Если они перезаписывают прошивку, то остаются в системе практически навсегда. Правда, в большинстве случаев для установки импланта требуется физический доступ к компьютеру.

Список инструментов
  • SeaPea v2.0: руткит для установки на OS X 10.3.0-10.4.0
  • NightSkies v1.2: имплант для iPhone 3G, работающий в фоновом режиме
  • DarkSeaSkies v1.0: имплант для прописки в EFI MacBook Air, который устанавливает имплант DarkMatter в пространстве ядра в OS X 10.5 и имплант NightSkies в пространстве пользователя
  • Triton v1.3: автоматизированный имплант для OS X 10.7-10.8
  • DerStarke v1.4: бездисковая версия Triton для записи в EFI, сетевые коммуникации в системе осуществляет через браузерный процесс, протестирован в моделях MBA4,1, MBA4,2, MBA5,2, MBA6,1, MBP6,2, MBP8,1, MBP8,2, MBP9,1, MBP10,1, MBP10,2
  • Sonic Screwdriver: обход парольной защиты Mac, протестирован в моделях MBA4,1, MBA4,2, MBA5,1, MBA5,2, MBP8,1, MBP8,2, MBP9,1, MBP9,2, MBP10,1, MBP10,2

Все представленные инструменты разработаны в подразделении Embedded Development Branch (EDB).

Хотя показанные программы ЦРУ более-менее устарели, но они дают общее представление о методах, которыми специалисты EDB взламывают технику Apple. Они также демонстрируют, что ЦРУ непрерывно изыскивало новые способы взлома и векторы атаки. В целом, они постоянно были на острие технического прогресса в хакерских техниках. «Похоже, что ЦРУ были одними из первых, кто начал взламывать EFI, — считает Педро Вилака (Pedro Vilaca), специалист по безопасности, который много лет изучает технику Apple. — Видно, что они очень интересовались взломом Mac/iOS, что имеет смысл, потому что ценные цели любят использовать [это]. Также интересно посмотреть на лаг между их инструментами и публичными исследованиями. Конечно, всегда есть неопубликованные исследования, но классно видеть их впереди».

Например, взять ту же «звуковую отвёртку» Sonic Screwdriver, описанную в руководстве пользователя от 29 ноября 2012 года. Судя по всему, именно эту атаку Thunderstrike впервые на публике продемонстрировал хакер Трэммелл Хадсон (Trammell Hudson). Это случилось в конце 2014 года, то есть хакерская сцена отстала от ЦРУ примерно на два года.


Устройство Thunderstrike от Трэммелла Хадсона, вероятно, аналогичное Sonic Screwdriver, разработанной в ЦРУ

С другой стороны, Трэммелл Хадсон в своём твиттере намекнул, что и сама ЦРУ может заимствовать идеи у сообщества. В июле 2012 года на хакерской конференции Black Hat USA был доклад хакера Snare об атаке на прошивку EFI через Thunderbolt, а в ноябре появился готовый инструмент от ЦРУ.


Ну что ж, если WikiLeaks всё-таки опубликует архив документов ЦРУ вместе с файлами в полном объёме в ближайшее время, то у нас есть шанс сократить технологическое отставание от ЦРУ. Но ненадолго. Всё-таки у Управления очень мощные ресурсы: там работают тысячи хакеров, а за счёт своего влияния и больших финансовых ресурсов они могут нанимать подрядчиков со стороны, покупать 0day-уязвимости и готовые эксплойты у третьих лиц. Если даже случится такое, что кто-то из независимых хакеров представит на публике инструмент, которого нет в арсенале ЦРУ, на него наверняка обратят пристальное внимание, будут следить за его исследованиями, могут пригласить на работу и т. д. Сложно рассчитывать на успешную борьбу независимого сообщества с мощной государственной машиной.
Поделиться с друзьями
-->

Комментарии (28)


  1. ru_vlad
    23.03.2017 23:56
    +4

    Интересно, а Димону (айфончику) уже «подготовленный» айфон подарили? ;)


    1. antey86
      24.03.2017 01:01
      +1

      он вам не Димон )


      1. ustasby
        24.03.2017 03:26
        +7

        опять полита, как вы достали.


        1. interprise
          24.03.2017 08:04
          +10

          не беспокойтесь, скоро все сайты где можно обсуждать политику будут просто блокировать и ваше психическое здоровье будет в безопасности


        1. norlin
          24.03.2017 10:10
          +3

          Опять "опять политота", как вы достали.


        1. StalkerJS
          24.03.2017 11:53
          +2

          Это не та полилота. На хабре и гиктаймсе полилоту можно только ту, которая поливает помоями Россию. Остальная вызывает весьма резкую реакцию.


          1. mammuthus
            24.03.2017 13:40

            Но какой смысл поливать грязью другие страны на ресурсе с русскоязычной аудиторией (большая часть которой живет на территории РФ)? Предполагается, что проблемы своего государства приоритетнее.


          1. Arf
            25.03.2017 09:03
            -1

            Да, это так. К сожалению это частая проблема сообществ со средним iq больше сотни.


            1. StalkerJS
              25.03.2017 12:18
              +1

              Я сначала написал стену текста, но потом понял, что смысла в ней нет. Просто «сообщество», рассказывающее о своей элитарности, «свистит паром» в интернете вместо того, чтобы что-то менять. А всех, кто хоть как-то отличается (хотя бы мнением) старается вполне радасна гнобить.


              1. Arf
                25.03.2017 16:41
                -1

                Элитарность здесь это скорее вы, который понятия не имея о жизни других людей и их вкладе в современное общество зачем то начинаете обвинять сразу всех кого видите. И пожалуйста, забудьте уже эту набившую оскомину фразу про «что-то менять». Она говорит лишь о довольно максималистичном взгляде на ситуацию и непонимании о реальных инструментах и способах для ее изменения. Я прямо так и вижу как каждый человек сейчас срочно встал и пошел что-то менять. Пофиг что и как, главное побыстрее и что-нибудь. Как получится.

                Кстати забавный факт, как правило любое более менее организованное сообщество с контентом выходящим за пределы любимых тем первого канала (читай пытающееся смотреть на мир вокруг себя своими глазами) сейчас настроено оппозиционно.


    1. exit999
      24.03.2017 10:17
      +1

      Конечно подготовленный!
      Еще в 50х годах прошлого века дарили статуи с жучками, глупо думать, что в 21 веке до этого не додумались)


      1. ilansk
        24.03.2017 13:12
        +1

        Я помню еще как троянцы подарили деревянного Коня


  1. shifttstas
    24.03.2017 00:06
    -4

    то у нас есть шанс сократить технологическое отставание от ЦРУ

    Нет, шанса нет, как минимум пока людей сажают и штрафуют за покупку камер на Ali


    1. Serge78rus
      24.03.2017 09:25
      +1

      Под словом «нас» надо понимать вовсе не нас с Вами, и не людей, покупающих что-либо на Ali.


    1. kvvv
      24.03.2017 09:47
      +1

      видимо, имелось ввиду не нас, как страну, а нас, как хакеров.


    1. Arf
      25.03.2017 09:07

      Штраф за покупку камер на али конечно с какой то стороны дурость, но это явно не первоочередная проблема.
      Для меня закон даже не дурацкий, я бы отнес его просто к локальным особенностям отдельного государства.
      И честно говоря там речь обычно идет про явно скрытые камеры, которые в своем использовании очень и очень спорны. В каких то кейсах (тайком снять правонарушение) они удобны и полезны, но в каких то резко обратно. Я знаю немало людей которых бы откровенно бесила их скрытая съемка исходящая от просто человека. Не наблюдение в магазине или каком то предприятии, а именно возможность скрытой съемки от абсолютно любого человека вокруг.


  1. DagothNik
    24.03.2017 08:19
    +2

    Ну все с этими продуктами Apple не так… Даже что б малварь установить, нужен физический доступ к устройству. Достали с этой закрытостью.


  1. NeoCode
    24.03.2017 08:39

    А аналогичные утечки из фсб интересно будут? :)))


    1. Serge78rus
      24.03.2017 09:34
      +3

      <сарказм>

      Этого вряд ли стоит опасаться: ламповое оборудование и софт на перфокартах вынести гораздо сложнее.

      </сарказм>


      1. ReanGD
        24.03.2017 15:32
        +1

        Русские хакеры софтом на перфокартах взламывают все на свете… тут как говорится либо крестик снимите, либо трусы наденьте


  1. Serge78rus
    24.03.2017 09:21

    • NightSkies v1.2: имплант для iPhone 3G, работающий в фоновом режиме

    • DarkSeaSkies v1.0: имплант для прописки в EFI MacBook Air, который устанавливает имплант DarkMatter в пространстве ядра в OS X 10.5 и имплант NightSkies в пространстве пользователя


    Непонятно, это взаимоисключающие параграфы, или NightSkies работает на обоих платформах, или речь о разных продуктах (на ноутбуке установщик, заражающий телефон)?


  1. silico
    24.03.2017 10:17

    для обнаружения уязвимостей не нужно "тысячи хакеров", целенаправленный поиск небольшой группы (отдела) даст результат.
    а вот создание прилад для российских с/с прблематично.
    не следует забывать и израильские с/с.


    1. Arf
      25.03.2017 09:10

      А кто говорит что там тысячи хакеров ломают айфон? Полагаю что есть n групп у каждой из которых стоит своя задача.


      1. silico
        25.03.2017 09:44

        да тут выше было…


  1. OlegZH
    24.03.2017 11:07

    Читая подобное, хочется (в сердцах) воскликнуть: не пишите сложный код! не пишите лишний код! не пишите дублирующий код (для одного и того же)! не используйте (вставить ненадёжный ЯП и/или ИСР)! Не (по)рождайте уязвимости!

    Как можно выпускать продукцию, над которой пользователь не имеет полного контроля? Если бы в этой области была настоящая конкуренция, то у пользователей был бы выбор: либо покупать традиционные продукты «как есть» по бросовым ценам, либо приобретать за хорошую деньгу систему, предоставляющую пользователю полный контроль. Это касается и оборудования, и программного обеспечения.

    Например, если бы БИОС с самого начала была полноценной базовой системой ввода вывода, то мы все давно имели бы стандартный загрузчик с выбором операционной системы, причём, БИОС сама распределяла бы дисковую память между операционными системами, а те не знали бы ничего про основную загрузочную запись и, соответственно, никто и никогда изнутри никакой операционной системы не мог бы подменить MBR. Вот, зачем, операционной системе физический доступ к диску? Незачем!… Сколько вирусов было бы невозможно написать, если бы все разработчики всегда чётко разделяли уровни реализации и функционирования, а в производство шли бы только те продукты, которые это разграничение чётко выдерживали бы!

    Или… кому-то было бы очень скучно жить в таком упорядоченном и прозрачном мире? ;-)


    1. maxpsyhos
      24.03.2017 12:20

      А сейчас что, по вашему, какая-то не настоящая конкуренция? Если вы вдруг не знали, это конкуренция не за качество, а за деньги. Системы «предоставляющие пользователю полный контроль» и так есть, только их используют там, где это реально нужно и стоят они соответственно.

      Вот, зачем, операционной системе физический доступ к диску?
      Как бы так объяснить… Исторически сложилось. Со времён когда 640 kB хватало каждому. Или думаете какой-то яйцеголовый гений в MS или IBM подумал и набросал план развития всей отрасли на 50 лет вперёд? Нет, всё развивается эволюционным путём, новые разработки пишутся поверх старых, т.к. разрабатывать каждый раз весь стек с нуля с каждым витком всё дороже и дороже. Ну и опять же обратная совместимость. Вы же хотите, чтобы на вашем новом компьтере запускались программы хотя бы 5-летней давности?


  1. den_golub
    24.03.2017 11:46

    >>Ну что ж, если WikiLeaks всё-таки опубликует архив документов ЦРУ вместе с файлами в полном объёме в ближайшее время, то у нас есть шанс сократить технологическое отставание от ЦРУ.
    Странное заявление.
    В некоторых учебных заведениях, такие вещи идут как курсовые.


  1. mortimoro
    24.03.2017 17:01

    Лично для меня не новость, что яблочная продукция вскрывается не хуже, чем любая другая ОС. Думаю, что для технического сообщества это тоже скорее факт, а не открытие. Так что публикация Ассанжем устаревшей информации наводит на мысль, что он намеренно ждал пока ЦРУ снимет гриф секретности. И это уже не первый случай.