Сайт WikiLeaks обнародовал новую порцию секретных документов ЦРУ, получившую название «Темная материя». Утечка касается ряда программ для кибершпионажа и взлома iPhone и Mac-компьютеров. Документы доказывают, что ЦРУ с давних времён постоянно взламывало защиту устройств Apple различными способами. В списке взломанных есть абсолютно все модели ноутбуков MacBook Pro и MacBook Air вплоть до конца 2013 года выпуска, последняя модель — MacBook Pro 11,2 (15″ Retina). Наверняка аналогичные инструменты взлома имеются у ЦРУ и для всех последующих моделей.

В частности, сообщается о таком инструменте, как Sonic Screwdriver — механизме, предназначенном для выполнения кода на периферийном устройстве, пока Mac загружается. С его помощью атакующий может начать атаку, например, с USB-флешки даже если требуется пароль прошивки (firmware password). В документах говорится, что для хранения вредоносного кода ЦРУ использовало модифицированные адаптеры Thunderbolt-to-Ethernet. Screwdriver позволяет внедрять в устройства Apple программы слежения, которые невозможно удалить даже с помощью переустановки операционной системы.

Другой инструмент, DerStarke, также работает через обычный USB-накопитель и загружает троян под названием Triton, который передаёт пакеты сетевых данных на удаленные серверы. Der Starke опасен тем, что не присутствует на жестком диске, поэтому его трудно найти. Когда он отправляет данные пользователя в ЦРУ, то маскирует это под какую-нибудь безобидную загрузку — например, фотографий на Facebook. Может работать в паре с Sonic Screwdriver. Однако DerStarke работает лишь на старых MacBook без функции Secure Boot. У ЦРУ было много времени, чтобы изучить и взломать новую защиту, о чём свидетельствует существование следующей версии DerStarke — 2.0.

Ещё один инструмент взлома — NightSkies 1.2. В инструкции по применению NightSkies описывается его работа на iPhone 3G под управлением iOS 2.1. Смартфон был выпущен в 2008 г. Документ сообщает, что NightSkies работает в фоновом режиме, обеспечивая возможность загрузки и выполнения кодов на устройстве. Для установки инструмента нужен физический доступ к смартфону, после установки он ожидает проявления активности со стороны пользователя. Когда человек начинает использовать iPhone, программа отсылает сигнал в предварительно сконфигурированный пост перехвата информации, чтобы получить задание, выполнить инструкции и ответить на запросы — все это за один сеанс.

Все проекты, о которых идет речь, разработаны в отделе встраиваемых систем (EDB) ЦРУ, пишет Wikileaks. Хотя указанные программы ЦРУ более-менее устарели, но они дают общее представление о методах, которыми специалисты EDB взламывают технику Apple. Они также демонстрируют, что ЦРУ непрерывно изыскивало новые способы взлома и векторы атаки.

Первая часть документов была опубликована 7 марта. В ней содержалось порядка 9000 статей, раскрывающих планы по слежке ЦРУ за пользователями. Представители Apple отрицают наличие уязвимостей и утверждают, что большая часть из них уже давно закрыта. Wikileaks придерживается другого мнения на этот счет, полагая, что к настоящему моменту ЦРУ утратила контроль над большей частью своего хакерского арсенала — а это сотни миллионов строк кода. Их получатели получат значительную часть хакерских возможностей ЦРУ. Возможно, этот архив был «уведен» из ЦРУ одним из хакеров и теперь активно распространяется в их кругах. Оттуда он и попал в Wikileaks. Сколько еще людей им владеют — сказать трудно. Но каждый из них теперь способен взламывать компьютеры и телефоны по всему миру не хуже, чем хакеры американской разведки.