Изготовленный в 2012 году в ЦРУ адаптер Apple Thunderbolt-to-Ethernet, в прошивке которого записан код Sonic Screwdriver (как звуковая отвёртка из «Доктора Кто») для запуска программы с периферийного устройства, даже если Mac защищён паролем. Так можно загрузиться с флешки/CD/DVD и установить инструменты на компьютер, не снимая пароль с Mac
Хотя Джулиан Ассанж говорил, что первая порция Year Zero представляет собой менее 1% от общей подборки документов ЦРУ Vault 7, но пока не торопится публиковать продолжение. Сегодня WikiLeaks выложил скромную подборку из 12 документов Dark Matter. Эта подборка датируется 2008-2009 годом плюс два документа за 2012-2013 годы и эксклюзивно посвящена инструментам для взлома компьютеров Mac и телефонов iPhone. В основном, это руководства пользователя по использованию программ.
Документы доказывают, что ЦРУ с давних времён постоянно взламывало защиту устройств Apple различными способами. В списке взломанных есть абсолютно все модели ноутбуков MacBook Pro и MacBook Air до конца 2013 года выпуска, последняя модель — MacBook Pro 11,2 (15" Retina). Трудно сомневаться, что аналогичные инструменты имеются у ЦРУ и для всех последующих моделей, просто WikiLeaks почему-то не опубликовало описание этих более современных имплантов.
Многие представленные инструменты в подборке Dark Matter взаимодействуют на уровне прошивки EFI/UEFI (как BIOS). Это значит, что на них не действует парольная защита. Если они перезаписывают прошивку, то остаются в системе практически навсегда. Правда, в большинстве случаев для установки импланта требуется физический доступ к компьютеру.
Список инструментов
- SeaPea v2.0: руткит для установки на OS X 10.3.0-10.4.0
- NightSkies v1.2: имплант для iPhone 3G, работающий в фоновом режиме
- DarkSeaSkies v1.0: имплант для прописки в EFI MacBook Air, который устанавливает имплант DarkMatter в пространстве ядра в OS X 10.5 и имплант NightSkies в пространстве пользователя
- Triton v1.3: автоматизированный имплант для OS X 10.7-10.8
- DerStarke v1.4: бездисковая версия Triton для записи в EFI, сетевые коммуникации в системе осуществляет через браузерный процесс, протестирован в моделях MBA4,1, MBA4,2, MBA5,2, MBA6,1, MBP6,2, MBP8,1, MBP8,2, MBP9,1, MBP10,1, MBP10,2
- Sonic Screwdriver: обход парольной защиты Mac, протестирован в моделях MBA4,1, MBA4,2, MBA5,1, MBA5,2, MBP8,1, MBP8,2, MBP9,1, MBP9,2, MBP10,1, MBP10,2
Все представленные инструменты разработаны в подразделении Embedded Development Branch (EDB).
Хотя показанные программы ЦРУ более-менее устарели, но они дают общее представление о методах, которыми специалисты EDB взламывают технику Apple. Они также демонстрируют, что ЦРУ непрерывно изыскивало новые способы взлома и векторы атаки. В целом, они постоянно были на острие технического прогресса в хакерских техниках. «Похоже, что ЦРУ были одними из первых, кто начал взламывать EFI, — считает Педро Вилака (Pedro Vilaca), специалист по безопасности, который много лет изучает технику Apple. — Видно, что они очень интересовались взломом Mac/iOS, что имеет смысл, потому что ценные цели любят использовать [это]. Также интересно посмотреть на лаг между их инструментами и публичными исследованиями. Конечно, всегда есть неопубликованные исследования, но классно видеть их впереди».
Например, взять ту же «звуковую отвёртку» Sonic Screwdriver, описанную в руководстве пользователя от 29 ноября 2012 года. Судя по всему, именно эту атаку Thunderstrike впервые на публике продемонстрировал хакер Трэммелл Хадсон (Trammell Hudson). Это случилось в конце 2014 года, то есть хакерская сцена отстала от ЦРУ примерно на два года.
Устройство Thunderstrike от Трэммелла Хадсона, вероятно, аналогичное Sonic Screwdriver, разработанной в ЦРУ
С другой стороны, Трэммелл Хадсон в своём твиттере намекнул, что и сама ЦРУ может заимствовать идеи у сообщества. В июле 2012 года на хакерской конференции Black Hat USA был доклад хакера Snare об атаке на прошивку EFI через Thunderbolt, а в ноябре появился готовый инструмент от ЦРУ.
Ну что ж, если WikiLeaks всё-таки опубликует архив документов ЦРУ вместе с файлами в полном объёме в ближайшее время, то у нас есть шанс сократить технологическое отставание от ЦРУ. Но ненадолго. Всё-таки у Управления очень мощные ресурсы: там работают тысячи хакеров, а за счёт своего влияния и больших финансовых ресурсов они могут нанимать подрядчиков со стороны, покупать 0day-уязвимости и готовые эксплойты у третьих лиц. Если даже случится такое, что кто-то из независимых хакеров представит на публике инструмент, которого нет в арсенале ЦРУ, на него наверняка обратят пристальное внимание, будут следить за его исследованиями, могут пригласить на работу и т. д. Сложно рассчитывать на успешную борьбу независимого сообщества с мощной государственной машиной.
Комментарии (28)
shifttstas
24.03.2017 00:06-4то у нас есть шанс сократить технологическое отставание от ЦРУ
Нет, шанса нет, как минимум пока людей сажают и штрафуют за покупку камер на Ali
Serge78rus
24.03.2017 09:25+1Под словом «нас» надо понимать вовсе не нас с Вами, и не людей, покупающих что-либо на Ali.
Arf
25.03.2017 09:07Штраф за покупку камер на али конечно с какой то стороны дурость, но это явно не первоочередная проблема.
Для меня закон даже не дурацкий, я бы отнес его просто к локальным особенностям отдельного государства.
И честно говоря там речь обычно идет про явно скрытые камеры, которые в своем использовании очень и очень спорны. В каких то кейсах (тайком снять правонарушение) они удобны и полезны, но в каких то резко обратно. Я знаю немало людей которых бы откровенно бесила их скрытая съемка исходящая от просто человека. Не наблюдение в магазине или каком то предприятии, а именно возможность скрытой съемки от абсолютно любого человека вокруг.
DagothNik
24.03.2017 08:19+2Ну все с этими продуктами Apple не так… Даже что б малварь установить, нужен физический доступ к устройству. Достали с этой закрытостью.
NeoCode
24.03.2017 08:39А аналогичные утечки из фсб интересно будут? :)))
Serge78rus
24.03.2017 09:34+3<сарказм>
Этого вряд ли стоит опасаться: ламповое оборудование и софт на перфокартах вынести гораздо сложнее.
</сарказм>ReanGD
24.03.2017 15:32+1Русские хакеры софтом на перфокартах взламывают все на свете… тут как говорится либо крестик снимите, либо трусы наденьте
Serge78rus
24.03.2017 09:21- NightSkies v1.2: имплант для iPhone 3G, работающий в фоновом режиме
- DarkSeaSkies v1.0: имплант для прописки в EFI MacBook Air, который устанавливает имплант DarkMatter в пространстве ядра в OS X 10.5 и имплант NightSkies в пространстве пользователя
Непонятно, это взаимоисключающие параграфы, или NightSkies работает на обоих платформах, или речь о разных продуктах (на ноутбуке установщик, заражающий телефон)?
silico
24.03.2017 10:17для обнаружения уязвимостей не нужно "тысячи хакеров", целенаправленный поиск небольшой группы (отдела) даст результат.
а вот создание прилад для российских с/с прблематично.
не следует забывать и израильские с/с.
OlegZH
24.03.2017 11:07Читая подобное, хочется (в сердцах) воскликнуть: не пишите сложный код! не пишите лишний код! не пишите дублирующий код (для одного и того же)! не используйте (вставить ненадёжный ЯП и/или ИСР)! Не (по)рождайте уязвимости!
Как можно выпускать продукцию, над которой пользователь не имеет полного контроля? Если бы в этой области была настоящая конкуренция, то у пользователей был бы выбор: либо покупать традиционные продукты «как есть» по бросовым ценам, либо приобретать за хорошую деньгу систему, предоставляющую пользователю полный контроль. Это касается и оборудования, и программного обеспечения.
Например, если бы БИОС с самого начала была полноценной базовой системой ввода вывода, то мы все давно имели бы стандартный загрузчик с выбором операционной системы, причём, БИОС сама распределяла бы дисковую память между операционными системами, а те не знали бы ничего про основную загрузочную запись и, соответственно, никто и никогда изнутри никакой операционной системы не мог бы подменить MBR. Вот, зачем, операционной системе физический доступ к диску? Незачем!… Сколько вирусов было бы невозможно написать, если бы все разработчики всегда чётко разделяли уровни реализации и функционирования, а в производство шли бы только те продукты, которые это разграничение чётко выдерживали бы!
Или… кому-то было бы очень скучно жить в таком упорядоченном и прозрачном мире? ;-)
maxpsyhos
24.03.2017 12:20А сейчас что, по вашему, какая-то не настоящая конкуренция? Если вы вдруг не знали, это конкуренция не за качество, а за деньги. Системы «предоставляющие пользователю полный контроль» и так есть, только их используют там, где это реально нужно и стоят они соответственно.
Вот, зачем, операционной системе физический доступ к диску?
Как бы так объяснить… Исторически сложилось. Со времён когда 640 kB хватало каждому. Или думаете какой-то яйцеголовый гений в MS или IBM подумал и набросал план развития всей отрасли на 50 лет вперёд? Нет, всё развивается эволюционным путём, новые разработки пишутся поверх старых, т.к. разрабатывать каждый раз весь стек с нуля с каждым витком всё дороже и дороже. Ну и опять же обратная совместимость. Вы же хотите, чтобы на вашем новом компьтере запускались программы хотя бы 5-летней давности?
den_golub
24.03.2017 11:46>>Ну что ж, если WikiLeaks всё-таки опубликует архив документов ЦРУ вместе с файлами в полном объёме в ближайшее время, то у нас есть шанс сократить технологическое отставание от ЦРУ.
Странное заявление.
В некоторых учебных заведениях, такие вещи идут как курсовые.
mortimoro
24.03.2017 17:01Лично для меня не новость, что яблочная продукция вскрывается не хуже, чем любая другая ОС. Думаю, что для технического сообщества это тоже скорее факт, а не открытие. Так что публикация Ассанжем устаревшей информации наводит на мысль, что он намеренно ждал пока ЦРУ снимет гриф секретности. И это уже не первый случай.
ru_vlad
Интересно, а Димону (айфончику) уже «подготовленный» айфон подарили? ;)
antey86
он вам не Димон )
ustasby
опять полита, как вы достали.
interprise
не беспокойтесь, скоро все сайты где можно обсуждать политику будут просто блокировать и ваше психическое здоровье будет в безопасности
norlin
Опять "опять политота", как вы достали.
StalkerJS
Это не та полилота. На хабре и гиктаймсе полилоту можно только ту, которая поливает помоями Россию. Остальная вызывает весьма резкую реакцию.
mammuthus
Но какой смысл поливать грязью другие страны на ресурсе с русскоязычной аудиторией (большая часть которой живет на территории РФ)? Предполагается, что проблемы своего государства приоритетнее.
Arf
Да, это так. К сожалению это частая проблема сообществ со средним iq больше сотни.
StalkerJS
Я сначала написал стену текста, но потом понял, что смысла в ней нет. Просто «сообщество», рассказывающее о своей элитарности, «свистит паром» в интернете вместо того, чтобы что-то менять. А всех, кто хоть как-то отличается (хотя бы мнением) старается вполне радасна гнобить.
Arf
Элитарность здесь это скорее вы, который понятия не имея о жизни других людей и их вкладе в современное общество зачем то начинаете обвинять сразу всех кого видите. И пожалуйста, забудьте уже эту набившую оскомину фразу про «что-то менять». Она говорит лишь о довольно максималистичном взгляде на ситуацию и непонимании о реальных инструментах и способах для ее изменения. Я прямо так и вижу как каждый человек сейчас срочно встал и пошел что-то менять. Пофиг что и как, главное побыстрее и что-нибудь. Как получится.
Кстати забавный факт, как правило любое более менее организованное сообщество с контентом выходящим за пределы любимых тем первого канала (читай пытающееся смотреть на мир вокруг себя своими глазами) сейчас настроено оппозиционно.
exit999
Конечно подготовленный!
Еще в 50х годах прошлого века дарили статуи с жучками, глупо думать, что в 21 веке до этого не додумались)
ilansk
Я помню еще как троянцы подарили деревянного Коня