Wikileaks reveló hace dos semanas que la CIA contaba con todo tipo de exploits que afectaban a dispositivos y software de Apple, Google o Microsoft, y aprovechaban para utilizarlos en beneficio propio para espiar, según ellos, a cualquier posible enemigo de Estados Unidos. Wikileaks afirmó que tenía en su poder más documentos e información de la CIA, y hoy ha vuelto a revelar documentos bajo el programa Vault 7.

La CIA tiene herramientas para instalar malware en el arranque en Mac y iPhone

Esta segunda revelación de herramientas de la CIA se centra plenamente en Apple. Según revelan los documentos de Wikileaks, la CIA puede instalar malware imposible de borrar en cualquier MacBook y iPhone siempre que tengan acceso físico al dispositivo. Estas herramientas fueron diseñadas por el proyecto de la CIA Embedded Development Branch (EDB).

En los documentos desvelados se detallan las técnicas utilizadas por la CIA para ganar acceso persistente a dispositivos de Apple infectados, incluyen Macs (MacBook, iMacs, etc) y iPhone, no pudiendo borrarlo ni siquiera cuando se formatea el dispositivo.

La primera herramienta, llamada Sonic Screwdriver se basa en un proyecto que consiste en ejecutar código en un dispositivo periférico mientras el ordenador Mac está arrancando, lo cual permite al atacante ejecutar su malware a través de un pendrive, incluso aunque el ordenador esté protegido mediante contraseña. El malware Sonic Screwdriver se almacena en una versión modificada del firmware del adaptador Thunderbolt a Ethernet oficial de Apple.

La segunda es DarkSeaSkies, que se implanta en la EFI de los MacBook Air. El nombre compuesto hace referencia a tres herramientas llamadas DarkMatter, SeaPea y NightSkies, las cuales se implantan en el EFI, en el kernel y en la interfaz de usuario, respectivamente.

También encontramos documentos referidos al malware para MacOS X “Triton”, su virus Dark Mallet y la versión persistente en la EFI DerStake. Aunque el manual para última versión de DerStarke 1.4 data de 2013, otros documentos de Vault 7 muestran que la herramienta está en constante actualización. El documento más reciente, de 2016, revela que la CIA ya está trabajando en DerStarke 2.0.

Llevan pudiendo infectar los iPhone desde que se lanzaron al mercado

Por último, vemos que esta revelación no sólo se centra en Mac, ya que los iPhone también están afectados. NightSkies 1.2 es una herramienta multiusos que permite infectar a cualquier iPhone al que se tenga acceso físico. La herramienta ya iba por la versión 1.2 en 2008, y estaba diseñada para ser instalada en iPhones nuevos, de tal manera que el usuario que lo recibe no se da cuenta de que lo tiene, y en el caso de que se dé cuenta, no puede hacer nada para borrarlo ya que no se puede eliminar ni reseteando el móvil.

Según afirma Wikileaks, esto significaría que la CIA lleva infectando iPhones en la cadena de suministro de sus objetivos al menos desde 2008. Tan sólo tenían que interceptar envíos de mensajería u otros servicios de transporte, abrirlos, infectarlos, volver a sellarlos, y mandarlos de nuevo. Es sorprendente que la CIA haya conseguido ejecutar código malicioso en el sector de arranque, ya que cada vez éste está más protegido ante este tipo de ataques.