WikiLeaks: Vault 7 – Dark Matter
23 de Março de 2017
Hoje, 23 de Março de 2017, o WikiLeaks lança o Vault 7 “Dark Matter“, que contém documentação sobre vários projectos da CIA que infectam o firmware Apple Mac (o que significa que a infecção persiste mesmo que o sistema operativo seja reinstalado), desenvolvidos pela Embedded Development Branch (RDB) da CIA.
Esses documentos explicam as técnicas usadas pela CIA manter a sua presença ‘persistência’ nos dispositivos Apple Mac, incluindo os Macs e iPhones, e demonstram o uso do seu malware para firmware e EFI/UEFI.
Entre outros, revelam o projecto “chave de parafusos sónica” “Sonic Screwdriver” em inglês que, como explicado pela CIA, é um “mecanismo para executar código em dispositivos periféricos enquanto os computadores portáteis ou de mesa Mac são inicializados”, permitindo assim que o atacante inicialize o seu software de ataque a partir de uma pen usb “mesmo quando o acesso ao firmware depende de uma password”. A contaminação “Sonic Screwdriver” da CIA fica armazenado no firmware modificado do adaptador Thunderbolt-to-Ethernet da Apple.
“DarkSeaSkies” é “um implante que permanece no firmware EFI de um computador Apple MacBook Air” e consiste do “DarkMatter“, “SeaPea” e “NightSkies“, respectivamente implantes para o EFI, espaço do núcleo e espaço do utilizador.
Os documentos sobre o malware “Triton” para o sistema operativo MacOSX, o seu transmissor “Dark Mallet” e sua versão persistente do “DerStarkee para EFI também estão incluídos nesta versão. Enquanto o manual DerStarke1.4 publicado hoje, data de 2013, outros documentos do Vault 7 mostram que a partir de 2016 , a CIA continua a confiar e actualizar esses sistemas e está a trabalhar na produção do DerStarke2.0.
Também está incluído nesta divulgação o manual do “NightSkies 1.2“ da CIA, “ferramenta de localização/carregamento/implantação”, para o iPhone da Apple. Notável é que o NightSkies versão 1.2 apareceu em 2008, e foi expressamente projectado para ser fisicamente instalado em novos iPhones saídos da fábrica. Isto é, a CIA, pelo menos desde 2008, tem infectado a cadeia de fornecimento do iPhone.
Embora os activos da CIA sejam usados às vezes para infectar fisicamente sistemas na posse de um alvo, é provável que muitos ataques de acesso físico da CIA tenham infectado a cadeia de fornecimento da organização alvo, incluindo a interdição de encomendas por e-mail e outras expedições (abertura, infecção e reenvio) que deixam os Estados Unidos ou de outra forma.
