Valut 7 episodio "Dark Matter": gli strumenti della CIA per spiare MacBook e iPhone

Valut 7 episodio Dark Matter:  gli strumenti della CIA per spiare MacBook e iPhone

Il secondo gruppo di documenti che vanno sotto il nome di Valut 7 sono stati rilasciati ieri da WikiLeaks. Si parla di strumenti per spiare specifici target che utilizzano, ma meglio dire utilizzavano, diverse versioni di Apple MacBook e anche iPhone. Ecco come

di Alessandro Bordin pubblicato il nel canale Sicurezza
Apple
 

La seconda tranche di documenti "Vault 7" svelati da WikiLeaks vanno sotto il nome di "Dark matter", in italiano materia oscura, che in cosmologia indica quella particolare materia dell'universo non direttamente osservabile, ma che diversi modelli cosmologici ipotizzano esistere e anche in notevole quantità. Insomma, un nome evocativo e sottile per indicare qualcosa che esiste, ma non riusciamo (ancora) a vederlo.  Molto meno evocativi sono i documenti svelati proprio ieri, che indicano come la CIA avrebbe utilizzato strumenti appositi per spiare diverse versioni di Apple MacBook e iPhone. A questo link è possibile leggere la fonte originale, che riproponiamo con diverse informazioni contenute nei documenti svelati.

Una premessa importante: come anche nel caso facente riferimento ai primi documenti Vault 7 (Wikileaks: la CIA ci spia attraverso smart TV, telefoni e diffonde malware. Ma davvero ci riguarda?), le tecniche riportate sono da considerare mirate su specifici bersagli e installate manualmente su tutti i dispositivi elencati. Questa premessa vuol essere da una parte rassicurante (non tutti i dispositivi sono spiati), ma al tempo stesso non vi si legga una minimizzazione del problema, poiché sottointende la violabilità di sistemi fra i più sicuri in assoluto. Almeno in teoria. Ad accomunare quasi tutte le tecniche della CIA,  almeno in riferimento alle rivelazioni di questi giorni, troviamo la violazione-infezione dell'interfaccia EFI / UEFI dei sistemi citati.

Sonic Screwdriver

L'accesso ai dispositivi è avvenuta sfruttando una vulnerabilità della porta Thunderbolt.

Il primo dei documenti, datato novembre 2012, è di fatto un manuale per spie spiega i progetto di spionaggio "Sonic Screwdriver". Scopo finale: permettere l'avvio del sistema da una unità esterna (USB, hard disk o CD/DVD) contenente un set di malware spia. Molto facile a dirsi, estremamente più difficile da mettere in pratica. L'attacco prevede di avere fra le mani il MacBook bersaglio, al quale viene collegato all'avvio quello che sembra un normalissimo adattatore Thunderbolt-to-Ethernet, il cui firmware è però volontariamente manomesso. Sfruttando una vulnerabilità della porta Thunderbolt la CIA aveva di fatto accesso alla configurazione della priorità delle periferiche di boot anche in presenza di una password impostata manualmente dall'utente a livello EFI/UEFI (diversa da quella che si usa per il sistema operativo MacOS X). Si rende così possibile avviare il sistema da un dispositivo esterno, opportunamente configurato dall'attaccante con strumenti di analisi e spionaggio per analizzare il disco primario del sistema e tutto il suo contenuto. I sistemi su cui Sonic Screwdriver è stato testato con successo sono i seguenti:

- MacBook Air 5,1 (Mid 2012 - 11”)
- MacBook Air 5,2 (Mid 2012 - 13”)
- MacBook Air 4,1 (Mid 2011 - 11”)
- MacBook Air4,2 (Mid 2011 - 13”)
- MacBook Pro 10,1 (Mid 2012 - 15” Retina)
- MacBook Pro (Late 2012 - 13” Retina)
- MacBook Pro 9,1 (Mid 2012 - 15”)
- MacBook Pro 9,2 (Mid 2012 - 13”)
- MacBook Pro 8,1 (Late 2011 - 13”)
- MacBook Pro 8,2 (Late 2011 - 15”)

Il set da spia per creare "Sonic Screwdriver" è invece il seguente:

- MacBook Air 5,1 o 5,2 (Mid 2012 - 11” o 13”, da usare per manomettere un normalissimo adattatore Thunderbolt-to-Ethernet
- Adattatore Thunderbolt-to-Ethernet a cui sostituire il firmware con quello manomesso
- USB stick, CD o DVD con il software per manomettere il firmware dell'adattatore

Importante: Apple ha già annunciato di aver risolto la falla di sicurezza Thunderbolt nel corso del 2013, motivo per cui questi sistemi oggi non funzionano più. Facile però supporre che oggi si utilizzi altro con le medesime funzionalità, sfruttando altre falle di sistema. WikiLeaks, per sua natura, si prende fino a 6 mesi per analizzare le fonti e i documenti, che a loro volta non sono quasi mai recentissimi. Ecco perché queste cose si scoprono dopo anni e spesso quando non sono più attive. Ma, come dice Wikileaks stessa, è oltremodo lecito ipotizzare che vi siano nuove versioni per i sistemi utilizzati oggi.

 

DarkSeaSkies: prendere controllo di un MacBook Air in 29 secondi

Il "lavoro sporco" lo effettuava però il malware NightSkies, cammuffando le proprie comunicazioni come ordinario traffico web quando il target navigava in rete.

Il progetto DarkSeaSkies è ancora più mirato e puntava a pendere il controllo totale di un sistema Mac Book Air dell'epoca (2009), con firmware MBA11.0088.B03 e Mac OSX 10.5.2-10.5.x (Leopard). Il progetto era così perfezionato che bastavano solo 29 secondi (26 di installazione, 6 per lo spegnimento) per avere traccia delle operazioni compiute da lì in poi sul MacBook Air, a patto però di accedervi fisicamente. DarkSeaSkies era di fatto costituito da 3 componenti, ognuna con il proprio nome e la propria funzionalità, usati anche in altri progetti simili. La prima era DarkMatter, direttamente nella componente EFI/UEFI.  A DarkMatter spettava poi il compito di installare altre due componenti chiave, ovvero il rootkit SeaPea (direttamente nel kernel e residente in zone di memoria protetta) e NightSkies, attivo negli ordinari scenari di utilizzo del sistema operativo. DarkMatter poteva rendersi inattivo dopo un lasso temporale ben preciso, ma anche "autorimuoversi" completamente. Il "lavoro sporco" lo effettuava però il malware NightSkies, cammuffando le proprie comunicazioni come ordinario traffico web quando il target navigava in rete. Lo scambio avveniva con una base operativa (nel documento LP, Listening Point, punto di ascolto). Oltre a trasmettere le informazioni sulla navigazione, NightSkies permetteva anche di copiare ed eliminare file, oltre a lanciare eseguibili. All'epoca DarkSeaSkies necessitava di reinstallazione totale in caso di aggiornamento firmware del portatile.

Come installare però tutto questo su un preciso MacBook Air? C'è tutto nei documenti: intercettarlo prima che il target lo riceva è la situazione ideale. La CIA suggeriva di far pervenire il MacBook Air, in qualche modo, come regalo, oppure intercettarlo prima della consegna in caso di acquisto. Vediamo fra poco come. Più invasivo e ad ampio spettro esiste anche il malware DerStarke (in versione 1.4 nel documento di riferimento), che svolge le medesime funzioni su sistemi MacBook Pro e MacBook Air fino al 2013 e la cui installazione si esegue lanciando un'applicazione da semplice chiavetta USB, ma in questo caso mancano dettagli specifici.

NightSkies anche su iPhone

Apple ha già dichiarato che le vulnerabilità sfruttate sono state risolte già con la versione successiva di iPhone, il modello 3GS, ma ovviamente valgono le considerazioni fatte in precedenza: ci sono sempre vulnerabilità che possono essere sfruttate.

La componente NightSkies è stata installata con successo anche su un numero imprecisato di iPhone, che all'epoca dei fatti era il modello iPhone 3G. Le finalità erano le medesime di quelle viste per MacBook Air: controllo delle attività web, possibile esecuzione di file, upload e donwload. Anche in questo caso però la CIA aveva la necessità di mettere fisicamente le mani sul terminale, motivo per cui si ricorreva (e probabilmente ancora si ricorre) a metodi senza tempo: l'intercettazione della corrispondenza, digitale e non. Ipotizziamo che Mr. Brown, per qualche motivo soggetto di forte interesse per la CIA, ordini un iPhone sull'Apple Store. Qui partono gli spioni (in realtà già attenti ad ogni mossa digitale di Mr. Brown), consapevoli del fatto che, di lì a breve, il soggetto riceverà per posta (ordinaria) il nuovo telefono. Come in una puntata di Wile E. Coyote, il pacco viene intercettato e il nuovo iPhone infettato con il malware di spionaggio, il tutto poi rimesso come nuovo nel box sulla via dell'indirizzo fisico di spedizione. Mr. Brown riceverà un iPhone del tutto identico agli altri milioni, ma all'interno c'è una sorpresa che non si aspetta. Apple ha già dichiarato che le vulnerabilità sfruttate sono state risolte già con la versione successiva di iPhone, il modello 3GS, ma ovviamente valgono le considerazioni fatte in precedenza: ci sono sempre vulnerabilità che possono essere sfruttate.

Per paradosso, molte fonti che parlano di questa notizia non danno peso a un fatto importante: passa come fatto assodato che la CIA abbia libero accesso a mail o ordini dei propri soggetti sospetti, come se fosse la cosa più semplice di tutte e da cui partire per ogni mossa successiva.

Altri documenti parlando i versioni successive delle singole componenti, alcune in grado di resistere al format totale del sistema (visto che sono residenti nel (EFI/UEFI), a monte cioè del sistema operativo, mentre altre che possono resistere sempre più agli aggiornamenti ordinari. Come abbiamo già detto, il report di questi giorni si riferisce ad anni ormai andati, motivo per cui non possiamo sapere ora cosa sia in atto a livello spionistico e mirato su soggetti ben precisi. Lo scopriremo, forse, fra qualche anno. A noi non resta, anche solo per curiosità, dare notizia delle rivelazioni più interessanti, anche per sensibilizzare sul tema della sicurezza.

25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy24 Marzo 2017, 16:01 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link all'Articolo: http://www.hwupgrade.it/articoli/si...hone_index.html...materia oscura, che in cosmologia indica quella particolare materia dell'universo non direttamente osservabile, ma che sappiamo esistere e anche in notevole quantità...

Non "sappiamo esistere".
"Alcuni modelli cosmologici ipotizzano esistere".
Potrebbe anche trattarsi di un colossale errore di teorizzazione matematica (e non sarebbe la prima volta)
/OT
Alessandro Bordin24 Marzo 2017, 16:03 #2
Tnks! Sistemato
zappy24 Marzo 2017, 16:10 #3
efi-uefi non dovevano garantire più sicurezza?
invece sono diventati il posto dove infilare altra eventuale porcheria...

de nada
turcone24 Marzo 2017, 16:36 #4
tutte notizie su device vecchi di 5-6 anni ormai wikileaks è sempre più inutile
cata8124 Marzo 2017, 17:46 #5
Originariamente inviato da: turcone
tutte notizie su device vecchi di 5-6 anni ormai wikileaks è sempre più inutile


non hai letto l'articolo vero?
turcone24 Marzo 2017, 21:23 #6
Originariamente inviato da: cata81
non hai letto l'articolo vero?


si e ho anche letto la risposta di apple .....
ArteTetra25 Marzo 2017, 00:38 #7
Originariamente inviato da: Redazione di Hardware Upgrade
Link all'Articolo: http://www.hwupgrade.it/articoli/si...hone_index.html

Il secondo gruppo di documenti che vanno sotto il nome di Valut 7 sono stati rilasciati ieri da WikiLeaks. Si parla di strumenti per spiare specifici target che utilizzano, ma meglio dire utilizzavano, diverse versioni di Apple MacBook e anche iPhone. Ecco come


"Valut"...
Opteranium25 Marzo 2017, 21:24 #8
Io sapevo che l'interfaccia thunderbolt è una chiavica in fatto di sicurezza perché offre accesso diretto alla memoria del sistema, feature sicuramente utile alle prestazioni ma deleteria per la sicurezza
Axios200627 Marzo 2017, 09:51 #9
6 mesi per confermare che un'agenzia di spionaggio spia...

Usa cattivoni... Cia criminali...

Invece Francia, UK, Germania, Cina, Russia, India e chi più ne ha più ne metta, sono bravi bambini che non hanno servizi segreti.

Anche i servizi segreti italiani sono una onlus benefica... Mandano caramelle a tutto il mondo...

Non capisco perchè Wikileaks si prodighi nel 90% dei casi a puntare il dito contro gli USA... Mica sono meglio o peggio degli altri...
bio.hazard27 Marzo 2017, 11:02 #10
Originariamente inviato da: Axios2006
Non capisco perchè Wikileaks si prodighi nel 90% dei casi a puntare il dito contro gli USA...


Perchè parrebbe siano gli unici ai quali sia possibile sottrarre, pressoché periodicamente, vagonate di documenti classificati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^