A partir de novos documentos, alegadamente da agência dos EUA e revelados pela Wikileaks, é possível concluir que infectava dispositivos ainda antes de chegarem aos clientes.
A CIA tem ferramentas para infectar computadores Mac conectando adaptadores Thunderbolt/Ethernet desde 2012, de acordo com novos documentos supostamente provenientes da agência e publicados pela WikiLeaks, na última quinta-feira. Um dia depois, a Apple pronunciou-dizendo que as falhas foram corrigidas há alguns anos.
Nos documentos há registos de 2009 sobre ferramentas desenvolvidas para iPhones. Um deles, datado de 29 de Novembro do mesmo ano, é um manual do centro de operações de informações do organismo norte-americano sobre o uso de um instrumento com nome-código “Sonic Screwdriver” (SS). É descrito como “mecanismo para executar código com dispositivos periféricos enquanto um laptop ou desktop Mac está a inicializado”.
A SS permitiria à CIA modificar o firmware de um adaptador Apple Thunderbolt-to-Ethernet de modo a forçar um Macbook a inicializar a partir de uma drive USB ou disco DVD. Mesmo quando as suas opções de inicialização estivessem protegidas por password.
Mais importante ainda, um adaptador modificado pela SS poderia ser usado para executar o “Der Starke”, programa de malware (sem ficheiros) para sistemas macOS com capacidades de persistência no EFI (Extensible Firmware Interface) do computador.
Um implante mais antigo,possivelmente o precursor do “Der Starke”, é descrito num documento de 2009 para computadores Macbook Air sob o nome código DarkSeaSkies. Também tem um módulo de persistência EFI e inclui um módulo de espaço de utilizador com nome código “Nightskies”.
Uma versão do Nightskies para iPhones foi concebida para ser instalada fisicamente em smartphones acabados de serem fabricados, de acordo com a WikiLeaks.
O mais interessante sobre o módulo Nightskies é que ele foi portado para o sistema dos Macbook Air a partir de uma versão para iPhones. De acordo com a WikiLeaks, a segunda foi concebida para ser instalada fisicamente em smartphones acabados de serem fabricados.
Isso sugere que a CIA consegue interferir e comprometer a segurança de informação da cadeia de abastecimento, potencialmente interceptando e infectando remessas de dispositivos electrónicos antes de chegarem ao comprador final. Documentos disponibilizados por Edward Snowden em 2013 sugeriram que a National Security Agency, dos EUA, estará envolvida em práticas semelhantes.
A capacidade de instalar rootkits no EFI de computadores Mac não é nova. O investigador de segurança australiano Loukas K, mais conhecido na comunidade de segurança como “Snare”, apresentou prova de conceito de uma ferramenta dessas na conferência Black Hat em 2012. Acabou por ser contratado pela Apple.
Em 2014, outro investigador de segurança, chamado Trammell Hudson, desenvolveu uma forma de infectar o EFI dos Mac através de dispositivos com conectividade Thunderbolt. A Apple corrigiu algumas das vulnerabilidades que tornavam possível esse ataque, mas no ano seguinte, Hudson criou outra versão da ferramenta de exploração, chamada Thunderstrike 2, juntamente com Xeno Kovah e Corey Kallenberg.
A Apple novamente corrigiu algumas das vulnerabilidades que tornavam o Thunderstrike 2 possível, e alguns meses depois contratou Kovah e Kallenberg.
Considerando que a Apple tem agora pelo menos três investigadores de segurança especializados em ataques aos EFI, que tem robustecido o seu firmware contra essas ofensivas de forma significativa desde 2012, é possível que o implante do “Der Starke” feito pela CIA, não funcione com os mais recentes dispositivos da empresa.
Mas o fabricante não se pronunciou quando lhe pediram comentário.
A capacidade de suplantar a proteção do EFI, por password, e inicializar o computador a partir da Opção ROM num periférico também tem sido conhecida desde 2012. Foi também mencionada na apresentação de “Snare” durante a Black Hat. O método, usado pelo “Sonic Screwdriver”foi finalmente bloqueado pela Apple no macOS Sierra 10.12.2, lançado em Dezembro passado.
Na sequência das primeiras revelações da Wikileaks sobre a CIA, a Intel Security lançou uma ferramenta para ajudar a verificar se os EFI / UEFI dos computadores têm algum código nocivo.
Informações em troca de coprrecções em 90 dias
Durante a última quinta-feira, o fundador da WikiLeaks, Julian Assange, disse que os documentos recém-lançados são apenas uma pequena parte de um repositório que a organização tem e ainda não publicou.
A WikiLeaks prometeu partilhar informações inéditas sobre vulnerabilidades de TIC com empresas cujos produtos são afectados. Mas pede-lhes para concordar com certos termos antes de divulgar as informações.
Não envolvem dinheiro ou qualquer outra coisa semelhante, mas o compromisso de que vão corrigir todas as falhas reveladas dentro de um prazo de 90 dias (excepto em casos de solução mais complexa).
*Actualizado com informação no primeiro parágrafo, sobre declarações da Apple.