Новая публикация WikiLeaks
Ресурс WikiLeaks опубликовал новый пакет документов Центрального разведывательного управления (ЦРУ) США, из которых следует, что ведомство уже около 10 лет располагает инструментами для взлома iPhone и Mac. Документы были обнародованы в рамках проекта Vault 7 и получили название Dark Matter.
Бумаги содержат инструкции по применению имплантов и руткитов – вредоносного ПО, которое ЦРУ внедряет на базовые уровни софта Apple, в ядро и прошивку. Основатель WikiLeaks Джулиан Ассандж (Julian Assange) назвал Dark Matter «небольшим образцом» того, что будет опубликовано на его сайте в ближайшие дни и недели.
Инструменты для взлома iPhone
Одна из упомянутых программ называется NightSkies 1.0. Это маячок-имплант, который ЦРУ, судя по документам, использует как минимум с 2008 г. – WikiLeaks утверждает, что с 2007 г. Инструмент устанавливается на новые iPhone, как только они сходят с конвейера, еще до покупки их пользователями. Он дает ЦРУ доступ к журналу звонков, СМС-переписке и другим данным, а также позволяет выполнять удаленные команды на устройстве. WikiLeaks предполагает, что ЦРУ могло перехватывать поставки iPhone, чтобы иметь возможность установить программу. Она инсталлируется через iTunes и при условии подключения к компьютеру.
В инструкции по применению NightSkies описывается работа этого инструмента на iPhone 3G под управлением iOS 2.1. Смартфон был выпущен в 2008 г. Документ сообщает, что NightSkies работает в фоновом режиме, обеспечивая возможность загрузки и выполнения кодов на устройстве. Для установки инструмента нужен физический доступ к смартфону, после установки он ожидает проявления активности со стороны пользователя. Когда человек начинает использовать iPhone, программа отсылает сигнал в предварительно сконфигурированный пост перехвата информации, чтобы получить задание, выполнить инструкции и ответить на запросы – все это за один сеанс.
Инструменты для взлома Mac
Судя по документам, NightSkies может быть использован и на MacBook Air. Он работает с системами Mac OS X 10.5.2 и выше. В бумагах также описан инструмент SeaPea, который использовался для взлома системы Mac OS X Tiger 10.4 с 2005 г. NightSkies, SeaPea и собственно DarkMatter – это компоненты общей системы взлома под названием DarkSeaSkies.
Система работает следующим образом. DarkMatter содержится в прошивке и отвечает за своевременную установку двух других компонентов. SeaPea прячет от пользователя всю деятельность по прослушке – файлы, процессы, сетевые события. NightSkies выполняет на устройстве удаленные команды и дает доступ к файлам.
В документах описывается также инструмент Sonic Screwdriver 1.0, с помощью которого ЦРУ удаленно взламывала ноутбуки Mac с 2012 г. Программа устанавливается в прошивку Ethernet-адаптера для порта Apple Thunderbolt. Sonic Screwdriver начинает действовать, когда адаптер подключается к ноутбуку – он устанавливает на Mac низкоуровневое вредоносное ПО. Это чем-то напоминает атаку Thunderstrike, известную с 2014 г. Используя один и тот же адаптер, можно заразить множество ноутбуков.
В документации также упомянут инструмент Triton 1.3, который позволяет ЦРУ получать доступ к файлам и папкам пользователя. Ресурс Techcrunch полагает, что он пришел на смену устаревшей системе DarkSeaSkies. Кроме того, есть данные о более опасном инструменте подобного назначения – программе Der Starke 1.4, появившейся в 2013 г. и работавшей на Mac под управлением OS X 10.7. Der Starke опасен тем, что не присутствует на жестком диске, поэтому его трудно найти. Когда он отправляет данные пользователя в ЦРУ, то маскирует это под какую-нибудь безобидную загрузку – например, фотографий на Facebook. Может работать в паре с Sonic Screwdriver.
Реакция Apple
Apple заявляет, что все проблемы, описанные в Dark Matter, давно решены. В частности, NightSkies работал только на iPhone 3G, и его использование стало невозможно после выпуска iPhone 3GS. Все уязвимости, касающиеся Mac, были закрыты начиная с 2013 г., сообщает компания.
В начале марта 2017 г. ресурс WikiLeaks приступил к публикации большого массива утекших документов ЦРУ. Проект получил название Vault 7. Первый опубликованный пакет данных называется Year Zero и содержит более 8,7 тыс. файлов. В этой выдаче также упоминается Apple – там рассказывается, как ЦРУ атакует iOS, используя уязвимости системы. Компания заявила, что около 80% упомянутых багов уже пропатчены.
Публикуя данные об уязвимостях в рамках проекта Vault 7, WikiLeaks не раскрывает технических подробностей, которые позволили бы их ликвидировать. Издание Motherboard сообщает, что Джулиан Ассандж выдвинул компаниям-производителям условия, на которых он согласен предоставить дополнительную информацию. Одно из условий – ликвидация всех багов в течение 90 дней.
В ответ на это Apple заявила, что никаких тайных переговоров с Ассанджем не ведет, условий принимать не собирается, и что Ассандж может передать ей любую информацию в установленном публичном порядке, с соблюдением стандартных сроков и обычной процедуры.