- PVSM.RU - https://www.pvsm.ru -
Изготовленный в 2012 году в ЦРУ адаптер Apple Thunderbolt-to-Ethernet, в прошивке которого записан код Sonic Screwdriver (как звуковая отвёртка из «Доктора Кто») для запуска программы с периферийного устройства, даже если Mac защищён паролем. Так можно загрузиться с флешки/CD/DVD и установить инструменты на компьютер, не снимая пароль с Mac
Хотя Джулиан Ассанж говорил, что первая порция Year Zero [1] представляет собой менее 1% от общей подборки документов ЦРУ Vault 7, но пока не торопится публиковать продолжение. Сегодня WikiLeaks выложил скромную подборку из 12 документов Dark Matter [2]. Эта подборка датируется 2008-2009 годом плюс два документа за 2012-2013 годы и эксклюзивно посвящена инструментам для взлома компьютеров Mac и телефонов iPhone. В основном, это руководства пользователя по использованию программ.
Документы доказывают, что ЦРУ с давних времён постоянно взламывало защиту устройств Apple различными способами. В списке взломанных есть абсолютно все модели ноутбуков MacBook Pro и MacBook Air до конца 2013 года выпуска, последняя модель — MacBook Pro 11,2 (15" Retina). Трудно сомневаться, что аналогичные инструменты имеются у ЦРУ и для всех последующих моделей, просто WikiLeaks почему-то не опубликовало описание этих более современных имплантов.
Многие представленные инструменты в подборке Dark Matter взаимодействуют на уровне прошивки EFI/UEFI (как BIOS). Это значит, что на них не действует парольная защита. Если они перезаписывают прошивку, то остаются в системе практически навсегда. Правда, в большинстве случаев для установки импланта требуется физический доступ к компьютеру.
Список инструментов
Все представленные инструменты разработаны в подразделении Embedded Development Branch (EDB).
Хотя показанные программы ЦРУ более-менее устарели, но они дают общее представление о методах, которыми специалисты EDB взламывают технику Apple. Они также демонстрируют, что ЦРУ непрерывно изыскивало новые способы взлома и векторы атаки. В целом, они постоянно были на острие технического прогресса в хакерских техниках. «Похоже, что ЦРУ были одними из первых, кто начал взламывать EFI, — считает [3] Педро Вилака (Pedro Vilaca), специалист по безопасности, который много лет изучает технику Apple. — Видно, что они очень интересовались взломом Mac/iOS, что имеет смысл, потому что ценные цели любят использовать [это]. Также интересно посмотреть на лаг между их инструментами и публичными исследованиями. Конечно, всегда есть неопубликованные исследования, но классно видеть их впереди».
Например, взять ту же «звуковую отвёртку» Sonic Screwdriver, описанную в руководстве пользователя от 29 ноября 2012 года [4]. Судя по всему, именно эту атаку Thunderstrike [5] впервые на публике продемонстрировал хакер Трэммелл Хадсон (Trammell Hudson). Это случилось в конце 2014 года, то есть хакерская сцена отстала от ЦРУ примерно на два года.
Устройство Thunderstrike от Трэммелла Хадсона, вероятно, аналогичное Sonic Screwdriver, разработанной в ЦРУ
С другой стороны, Трэммелл Хадсон в своём твиттере намекнул [6], что и сама ЦРУ может заимствовать идеи у сообщества. В июле 2012 года на хакерской конференции Black Hat USA был доклад хакера Snare об атаке на прошивку EFI через Thunderbolt, а в ноябре появился готовый инструмент от ЦРУ.
Ну что ж, если WikiLeaks всё-таки опубликует архив документов ЦРУ вместе с файлами в полном объёме в ближайшее время, то у нас есть шанс сократить технологическое отставание от ЦРУ. Но ненадолго. Всё-таки у Управления очень мощные ресурсы: там работают тысячи хакеров, а за счёт своего влияния и больших финансовых ресурсов они могут нанимать подрядчиков со стороны, покупать 0day-уязвимости и готовые эксплойты у третьих лиц. Если даже случится такое, что кто-то из независимых хакеров представит на публике инструмент, которого нет в арсенале ЦРУ, на него наверняка обратят пристальное внимание, будут следить за его исследованиями, могут пригласить на работу и т. д. Сложно рассчитывать на успешную борьбу независимого сообщества с мощной государственной машиной.
Автор: alizar
Источник [9]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/ios/250636
Ссылки в тексте:
[1] Year Zero: https://geektimes.ru/post/286702/
[2] 12 документов Dark Matter: https://wikileaks.org/vault7/darkmatter/document/
[3] считает: https://motherboard.vice.com/en_us/article/wikileaks-new-dump-shows-how-cia-allegedly-hacked-macs-and-iphones-almost-a-decade-ago
[4] руководстве пользователя от 29 ноября 2012 года: https://wikileaks.org/vault7/darkmatter/document/SonicScrewdriver_1p0/
[5] Thunderstrike: https://trmm.net/Thunderstrike
[6] намекнул: https://twitter.com/qrs/status/844934469886902273
[7] @snare: https://twitter.com/snare
[8] pic.twitter.com/jA7HcPEKsa: https://t.co/jA7HcPEKsa
[9] Источник: https://geektimes.ru/post/287248/
Нажмите здесь для печати.