Wouter Hoeffnagel - 24 maart 2017

Nieuwe Vault 7-documenten beschrijven aanvallen op Apple-apparaten

Opnieuw zijn documenten van de CIA vrijgegeven door WikiLeaks. De documenten, die Vault 7 “Dark Matter” worden genoemd, beschrijven een reeks cyberaanvallen op Apple-apparatuur, waaronder Mac’s en iPhones. Bij één van de aanvallen wordt gebruikt gemaakt van een gemanipuleerde Apple Thunderbolt-to-Ethernet adapter.

De documenten bevatten verschillende aanvallen op Apple-apparatuur:

  • Sonic Screwdriver - een project voor het uitvoeren van code vanaf randapparatuur terwijl een Mac laptop of desktop opstart. Deze aanval maakt gebruik van een gemanipuleerde Apple Thunderbolt-to-Ethernet adapter om systemen van malware te voorzien. Door deze malware te laden op het moment dat de machine nog op start worden beveiligingsmaatregelen omzeilt, waardoor de kwaadaardige software bijvoorbeeld ook op machines met een firmwarewachtwoord kan worden geïnstalleerd.
  • DarkSeaSkies - malware die zich in de EFI firmware van een Apple MacBook Air nestelt. Ook als het volledige besturingssysteem opnieuw wordt geïnstalleerd blijft deze infectie bestaan, wat het verwijderen van de malware bemoeilijkt.
  • Triton, Dark Mallet en DerStarke - Triton is een vorm van malware die specifiek is ontwikkeld voor het besturingssysteem Mac OS X van Apple. Deze maakt gebruik van de ‘infector’ Dark Mallet. Daarnaast bestaat een versie van de malware die zich in de EFI-firmware van Apple-systemen nestelt. Deze malware wordt ‘DerStarke’ genoemd.

NightSkies 1.2
De documenten bevatten daarnaast een handleiding voor NightSkies 1.2, dat door WikiLeaks een "beacon/loader/implant tool" voor de iPhone wordt genoemd. NightSkies 1.2 is in 2008 ontwikkeld en is specifiek ontwikkeld om op nieuw geproduceerde iPhones te installeren voordat deze bij de klant worden afgeleverd. WikiLeaks noemt het op basis hiervan waarschijnlijk dat de CIA de leveranciersketen van Apple sinds 2008 aanvalt. Wel merkt de klokkenluiderswebsite op dat de malware ook kan worden gebruikt om in te breken op apparaten van gearresteerde verdachten.

Meer informatie is te vinden op WikiLeaks.org.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024