CIA drong binnen in Macs met behulp van aangepaste firmware op netwerkdongel
De hackingcapaciteiten van de CIA staan terug in de kijker nu WikiLeaks er voor heeft gekozen om nieuwe Vault 7-documenten vrij te geven.
Uit deze nieuwe documenten blijkt dat er door de inlichtingendienst gebruik zou zijn gemaakt van een thunderbolt-naar-ethernetdongel met daarop aangepaste firmware. Op deze manier zou men de mogelijkheid hebben gehad om Apple-computers te voorzien van spionagetools.
Vault 7 "Dark Matter"
De reeks met nieuwe documenten die door Wikileaks werd gepubliceerd bestaat uit 12 verschillende stukken. Het merendeel van deze documenten zijn afkomstig uit de tijdspanne 2008 en 2009.
Ze beschrijven diverse methoden die door de CIA worden ingezet om binnen te dringen in Apple-apparatuur. Een aantal documenten die zijn gepubliceerd in het jaar 2012 en 2013 hebben betrekking tot een project welke luistert naar de naam Sonic Screwdriver.
Sonic Screwdriver is volgens de documenten in het leven geroepen om code uit te voeren met behulp van externe apparaten op MacBooks en Apple-computers. Om dit te kunnen realiseren werd er door de CIA gebruik gemaakt van een Apple Thunderbolt-Ethernet-dongel die werd voorzien van aangepaste firmware.
Deze aangepaste firmware maakte het mogelijk om tijdens het booten het vereiste firmware paswoord te omzeilen. Dit wachtwoord heeft als functie om te voorkomen dat er een bepaalde code kan worden uitgevoerd vanaf een toestel dat niet staat aangewezen als bootdisk.
Eenmaal de geïnfecteerde netwerkadapter is geconnecteerd met de thunderbolt-aansluiting van de Macbook of Apple-computer zal deze tijdens het booten zoeken naar een apparaat die beschikt over de volumenaam ‘FILER’. Dit kan van alles zijn, namelijk zowel een externe harde schijf als een usb-stick. Vanaf dit externe apparaat kan er vervolgens voor worden gekozen om meerdere tools te openen die door de CIA werden ingezet om te achterhalen welke content zich er allemaal op het apparaat bevindt.
Der Starke
Eén van de bovenvermelde implanttools zou volgens de gelekte documenten luisteren naar de naam Der Starke. Deze tool zou heimelijke netwerkcommunicatie realiseren en biedt bovendien een persistence-functionaliteit.
Zelfs op het ogenblik dat de firmware van OS X een update krijgt is het mogelijk om de implant terug zonder al teveel problemen te injecteren. Het enige nadeel van deze werkwijze is dat de CIA fysiek toegang moest hebben tot het toestel dat ze wilden injecteren.
Het vermoeden bestaat dan ook dat ze diverse zendingen hebben onderschept om in deze fase reeds de software aan te brengen op het toestel.