多年來(lái)，CIA就知道iPhone植入程序和MacBook底層rootkit。

維基解密新放出的一批據(jù)說(shuō)泄自CIA的文檔顯示：2012年起，該機(jī)構(gòu)便利用工具連接惡意Thunderbolt網(wǎng)卡，以感染Mac機(jī)器。

其中一份2012年11月29的文件，是CIA信息作戰(zhàn)中心的一份手冊(cè)，說(shuō)的是代號(hào)“音速改錐(Sonic Screwdriver)”的技術(shù)。該技術(shù)被描述為“Mac筆記本或桌面電腦啟動(dòng)時(shí)在外圍設(shè)備上執(zhí)行代碼的機(jī)制。”

“音速改錐”讓CIA得以修改蘋(píng)果Thunderbolt網(wǎng)卡固件，強(qiáng)制MacBook從U盤(pán)或光盤(pán)啟動(dòng)——即便其啟動(dòng)選項(xiàng)受口令保護(hù)的情況下。

比如說(shuō)，“音速改錐”可用于從 Linux live CD 啟動(dòng)，這樣MacBook的分區(qū)和數(shù)據(jù)就可以從macOS外訪問(wèn)了。

更重要的是，被“音速改錐”修改過(guò)的網(wǎng)卡可用于執(zhí)行 DerStarke ——一款無(wú)文件macOS惡意程序，在計(jì)算機(jī)可擴(kuò)展固件接口(EFI)留有長(zhǎng)期駐留組件。

EFI或UEFI(統(tǒng)一可擴(kuò)展固件接口)，是在操作系統(tǒng)啟動(dòng)前，初始化和配置計(jì)算機(jī)硬件組件的底層固件，相當(dāng)于現(xiàn)代版BIOS。

EFI植入，或者rootkit，可以在啟動(dòng)過(guò)程中將惡意代碼注入操作系統(tǒng)內(nèi)核，即便系統(tǒng)完全重裝了，或者硬盤(pán)驅(qū)動(dòng)器換了，也都能繼續(xù)駐留。

3月23日泄露的另一份CIA文檔中，DerStarke 被描述為“無(wú)盤(pán)EFI駐留版Triton”。Triton是 Mac OS X 下課自動(dòng)植入的間諜軟件，它可以盜取數(shù)據(jù)并發(fā)送到遠(yuǎn)程服務(wù)器。

2009年的一份文檔中，描述了名為“DarkSeaSkies”的 MacBook Air 惡意軟件——一款可能是 DerStarke 前身的舊版植入物。這款惡意軟件同樣具有EFI駐留模塊，且包含名為“Nightskies”的用戶空間模塊。

Nightskies是從iPhone上移植到 MacBook Air 中的。這也是它最引人注目的一點(diǎn)。維基解密上顯示，iPhone版Nightskies是物理安裝到原裝出廠手機(jī)上的。

這表明，CIA染指了供應(yīng)鏈。即在電子產(chǎn)品裝運(yùn)送達(dá)到最終買(mǎi)家手里之前，CIA很可能就已經(jīng)攔截并感染了該設(shè)備。2013你那斯諾登泄露的文檔里，已經(jīng)透露出美國(guó)國(guó)家安全局(NSA)參與了類似活動(dòng)。

在Mac計(jì)算機(jī)的EFI里安裝rootkit并不新鮮。澳大利亞安全研究員勞卡斯·K(安全社區(qū)人稱Snare)，在2012年的黑客安全大會(huì)上，就演示過(guò)Mac機(jī)器 EFI rootkit 概念驗(yàn)證。Snare由此被蘋(píng)果公司聘走。

2014年，另一位安全研究員特拉梅爾·哈德森，開(kāi)發(fā)了從惡意Thunderbolt設(shè)備感染Mac機(jī)EFI的方法。蘋(píng)果修復(fù)了一些相關(guān)漏洞，但隨后一年里，哈德森又與鑫爾諾·科瓦和科里·卡楞伯格一起，開(kāi)發(fā)了該漏洞利用的另一個(gè)版本，名為“Thunderstrike 2”。

蘋(píng)果再次針對(duì) Thunderstrike 2 相關(guān)漏洞做了修復(fù)。幾個(gè)月后，科瓦和卡楞伯格被蘋(píng)果公司聘用。

鑒于蘋(píng)果公司目前至少有3名精于此道的安全研究員，且該公司自2012年起便強(qiáng)化了其固件的EFI漏洞防護(hù)，CIA的 DerStarke 植入可能對(duì)該公司最新版本設(shè)備無(wú)效。

蘋(píng)果并未對(duì)評(píng)論請(qǐng)求做出立即回復(fù)。

2012年時(shí)，繞過(guò)EFI口令防護(hù)從外圍設(shè)備可選ROM啟動(dòng)的方法就已經(jīng)為人所知了，Snare的黑客大會(huì)演示中也提到過(guò)。CIA的“音速改錐”Thunderbolt網(wǎng)卡中所用的方法，在12月推出的 macOS Sierra 10.12.2 中就已被封。

本月早些時(shí)候維基解密放出第一批CIA文檔后，英特爾安全推出了一款工具，幫助計(jì)算機(jī)管理員驗(yàn)證EFI/UEFI是否含有惡意代碼。

23號(hào)的新聞發(fā)布會(huì)上，維基解密創(chuàng)始人阿桑奇稱，新放出的文檔僅僅是CIA文檔緩存中的一小部分，維基解密掌握了大量文檔，僅僅是尚未公布而已。

維基解密之前曾承諾，與受影響技術(shù)廠商共享CIA漏洞及漏洞利用程序的未公布信息。并且，該組織要求廠商同意某些條款才放出這些信息。

阿桑奇在23號(hào)澄清：這些條款不涉及金錢(qián)之類的東西，只是要廠商承諾在業(yè)界標(biāo)準(zhǔn)90天時(shí)限內(nèi)修復(fù)這些漏洞；而一時(shí)難以修復(fù)漏洞的時(shí)限則會(huì)稍有放寬。