Die CIA hat Werkzeuge, um Apple Mac Computer zu infizieren, indem sie seit 2012 bösartige Thunderbolt Ethernet-Adapter an sie anschließt, nach neuen Dokumenten, die angeblich von der Agentur stammen und von WikiLeaks veröffentlicht wurden. Eines der Dokumente, datiert vom 29. November 2012, ist ein Handbuch des CIA Information Operations Center über die Verwendung einer Technologie mit dem Codenamen Sonic Screwdriver.
Es wird als „ein Mechanismus zum Ausführen von Code auf Peripheriegeräten beschrieben, während ein Mac-Laptop oder -Desktop bootet“. Mit dem Sonic Screwdriver kann die CIA die Firmware eines Apple Thunderbolt-to-Ethernet-Adapters so modifizieren, dass ein Macbook von einem USB-Stick oder einer DVD booten muss, auch wenn seine Boot-Optionen passwortgeschützt sind. Zum Beispiel kann Sonic Screwdriver verwendet werden, um in eine Linux-Live-CD zu booten, so dass auf die Partitionen und Daten des Macbooks von außerhalb von macOS zugegriffen werden kann, heißt es im Handbuch.
Noch wichtiger ist, dass ein von Sonic Screwdriver modifizierter Adapter verwendet werden kann, um Der Starke auszuführen, ein dateiloses MacOS-Malware-Programm, das eine Persistenzkomponente im EFI (Extensible Firmware Interface) des Computers installiert hat. Die EFI oder UEFI ist die Low-Level-Firmware, die die Hardwarekomponenten des Computers vor dem Start des eigentlichen Betriebssystems initiiert und konfiguriert. Es ist das moderne Pendant zum BIOS.
Ein EFI-Implantat oder Rootkit kann während des Bootvorgangs bösartigen Code in den Kernel des Betriebssystems injizieren und überlebt selbst dann, wenn das Betriebssystem vollständig neu installiert oder die Festplatte gewechselt wird. Der Starke wird in einem anderen CIA-Dokument beschrieben, das am Donnerstag als „eine plattenlose, EFI-persistente Version von Triton“ bekannt wurde, die „ein automatisches Implantat für Mac OS X“ ist – Malware, die Daten stehlen und an einen entfernten Server senden kann.
Ein älteres Implantat, und möglicherweise Der Starke’s Vorläufer, ist in einem Dokument von 2009 für Macbook Air Computer unter dem Codenamen DarkSeaSkies beschrieben. Es verfügt ebenfalls über ein EFI-Persistenzmodul und enthält ein User-Space-Modul mit dem Codenamen Nightskies. Interessant an Nightskies ist, dass es von einer Version für iPhones auf das Macbook Air portiert wurde. Laut WikiLeaks ist die iPhone-Version von Nightskies für die physische Installation auf fabrikneuen Telefonen ausgelegt.
Dies deutet darauf hin, dass die CIA die Lieferkette gefährdet und potenziell die Sendungen elektronischer Geräte abfangen und infizieren wird, bevor sie den Endabnehmer erreichen. Dokumente, die vom ehemaligen Auftragnehmer der National Security Agency, Edward Snowden, im Jahr 2013 durchgesickert sind, legen nahe, dass die NSA ähnliche Praktiken anwendet. Die Möglichkeit, Rootkits innerhalb der EFI von Mac-Computern zu installieren, ist nicht neu. Der australische Sicherheitsforscher Loukas K, besser bekannt als Snare, stellte auf der Black Hat-Sicherheitskonferenz 2012 ein Proof-of-Concept EFI-Rootkit für Macs vor. Snare wurde seitdem von Apple eingestellt.
Im Jahr 2014 entwickelte ein anderer Sicherheitsforscher namens Trammell Hudson einen Weg, die EFI von Mac-Computern durch bösartige Thunderbolt Geräte zu infizieren. Apple behebt einige der Schwachstellen, die diesen Angriff möglich machten, aber im folgenden Jahr hat Hudson zusammen mit den Forschern Xeno Kovah und Corey Kallenberg eine weitere Version des Exploits namens Thunderstrike 2 erstellt. Apple hat wieder einige der Schwachstellen behoben, die Thunderstrike 2 möglich machten, und ein paar Monate später stellte das Unternehmen Kovah und Kallenberg ein.
Da Apple nun mindestens drei Sicherheitsforscher hat, die sich auf EFI-Angriffe spezialisiert haben und das Unternehmen seine Firmware seit 2012 deutlich gegen solche Angriffe abgesichert hat, ist es möglich, dass das CIA-Implantat Der Starke auf den neuesten Geräten des Unternehmens nicht funktioniert. Apple reagierte nicht sofort auf eine Anfrage nach einem Kommentar.
Die Möglichkeit, den EFI-Passwortschutz zu umgehen und von der Option ROM eines Peripheriegerätes zu booten, ist ebenfalls seit 2012 bekannt und wurde in Snare’s Black Hat Präsentation erwähnt. Diese Methode, die vom Sonic Screwdriver Thunderbolt Adapter der CIA verwendet wird, wurde schließlich von Apple in macOS Sierra 10.12.2, veröffentlicht im Dezember, blockiert.
Nachdem WikiLeaks Anfang dieses Monats den ersten Stapel von CIA-Dokumenten veröffentlicht hat, hat Intel Security ein Tool veröffentlicht, mit dem Computeradministratoren überprüfen können, ob der EFI/UEFI schädlichen Code enthält. Während einer Pressekonferenz am Donnerstag sagte WikiLeaks-Gründer Julian Assange, dass neu veröffentlichte Dokumente nur ein kleiner Teil des Cache von CIA-Dokumenten sind, die seine Organisation hat, aber noch nicht veröffentlicht hat.
WikiLeaks versprach zuvor, unveröffentlichte Informationen über CIA-Exploits und Schwachstellen an Technologieunternehmen mit betroffenen Produkten weiterzugeben. Die Organisation bat dann die Verkäufer, bestimmten Bedingungen zuzustimmen, bevor sie die Informationen preisgibt.
Assange hat am Donnerstag klargestellt, dass diese Begriffe kein Geld oder ähnliches beinhalten, sondern vielmehr eine Verpflichtung der Anbieter sind, dass sie alle Fehler, die ihnen innerhalb eines branchenüblichen Zeitraums von 90 Tagen bekannt werden, beheben werden – mit einer möglichen Erweiterung für schwer zu behebende Schwachstellen.