CIA Vault 7: Apple Mac Hardware Trojan

WikiLeaks 23 Mart 2017’de, CIA’nın Gömülü Geliştirme Birimi tarafından geliştirilen Apple Mac donanım yazılımını (işletim sisteminin yeniden yüklenmesine rağmen enfeksiyon devam ediyor) bulaştıran çeşitli CIA projeleri için dokümantasyon içeren Vault 7 “Dark Matter (Karanlık Madde)” sızıntısını yayımladı. Bu belgeler, Mac’ler ve iPhone’lar da dahil olmak üzere Apple Mac aygıtlarında ‘kalıcılık’ elde etmek için CIA tarafından EFI / UEFI malware’i kullanılarak gerçekleştirilen istihbarat saldırıları haber veriliyor.

Diğer belgeler arasında, CIA tarafından açıklandığı üzere “bir Mac dizüstü veya masaüstü önyükleme yaparken çevresel aygıtlarda kod yürütme mekanizması” olarak bir saldırganın USB flash bellek ile (firmware şifresi olsa dahi) saldırı yazılımını önyükleme yapmasına izin veren “Sonic Screwdriver”  projesini ortaya koyuyor. CIA’nin “Sonic Screwdriver”  bulaşıcısı, Apple Thunderbolt-Ethernet adaptörünün değiştirilmiş belleğine (firmware) kaydediliyor.

“DarkSeaSkies”, Apple MacBook Air bilgisayarının EFI firmware’inde sırasıyla ” DarkMatter“,” SeaPea ” ve “NightSkies” ‘dan oluşan, kernel ve kullanıcı seviyesi kalıcı implantlarından oluşuyor.

“Triton” MacOSX malware adlı belgede, enfekte etmek için kullanılan “Dark Mallet” ve EFI-firmware’ine yerleşen kalıcı versiyonu “DerStarke” hakkında bilgiler yer alıyor. DerStarke1.4 el kitabı bugün yayınlanmasına rağmen 2013 tarihli olduğu dikkat çekiyor. Diğer Vault 7 dokümanları, 2016’dan itibaren CIA’in bu sistemlere güvenip bunları güncellemeye devam ettiğini ve DerStarke2.0 üretiminde çalışmakta olduğunu gösteriyor.

Ayrıca yayınlanan belgeler arasında, Apple iPhone için “beacon/loader/implant tool” amaçlarıyla kullanılan CIA’nin “NightSkies 1.2” el kitabı da bulunuyor. Dikkat çeken nokta, NightSkies’in 2008’e kadar 1.2 sürümüne ulaşmış olması ve açıkça fabrikada bulunan yeni iPhone’lara fiziksel olarak yüklenmek üzere tasarlanmış olması. Yani 2008’den bu yana, CIA’in hedeflerinin iPhone tedarik zincirini olduğunu ortaya koyuyor.

CIA’in bu ajan yazılımları bazen bir hedefin gözetiminde sistemlere fiziksel olarak bulaştırmak için kullanılırken, birçok CIA fiziksel erişim saldırısı Amerika Birleşik Devletleri veya diğer ülkelerde, posta siparişlerini ve diğer gönderileri (açmak, enfekte etmek ve yeniden göndermek) de dahil olmak üzere hedeflenen kuruluşun tedarik zincirine enfekte olmuş olabilir. Yani CIA sipariş verdiğiniz Apple cihazına kargoyu ele geçirerek müdahale etmekte.

Wikileaks tarafından incelemesi yapılan yazıya konu Vault 7 arşivinin tamamını github‘dan indirebilirsiniz. (Arşivin boyutu 600MB civarında)

 

2014_EN_BreakingAVSoftware_JoxeanKoret.pdf (Antivirüsleri kırmak)

2014_EN_BreakingAVSoftware_JoxeanKoret.pdf adlı döküman çoğu BT’cinin hangi antivirüs daha iyidir sorusuna verebileceği faydalı ileri teknik bilgiler içeriyor. Dökümanda Panda AV itin g*tüne sokulmuş durumda. Kaspersky’nin public olmuş zafiyetleri ile alakalı umursamaz tavrı ile Bitdefender (“Security service” my ass)’in kolayca exploit yazılabilecek bir AV olduğuna atıf yapılmış. Döküman son kullanıcıların yanından AV geliştirici şirketlere uyarılar mahiyetinde hacker bakış açısı ile hazırlanmış bir sunum. Hemen hemen tüm antivirüslerin zafiyet ve ve eksik yanları hakkında hafif alaycı bir üslupla incelemelerin yapıldığı faydalı bir sunum. Uzun sayılabilecek sunum sonunda şu tavsiyelerde bulunulmuş:

  • Some AV software  may lower your operating system protections
  • Do not blindly trust your AV product.
  • Some AVs Increase your attack surface.
  • Isolate the machines with AV engines used for gateways, network inspection, etc  (çükü AV’lerin kendisi de gönderilen bir dosya ile exploit edilebildiği için güvenliği riske atabilir)

Yazar: Özgür Koca

Yazar - Tankado.com

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.