多年来，CIA就知道iPhone植入程序和MacBook底层rootkit。

维基解密新放出的一批据说泄自CIA的文档显示：2012年起，该机构便利用工具连接恶意Thunderbolt网卡，以感染Mac机器。

其中一份2012年11月29的文件，是CIA信息作战中心的一份手册，说的是代号“音速改锥(Sonic Screwdriver)”的技术。该技术被描述为“Mac笔记本或桌面电脑启动时在外围设备上执行代码的机制。”

“音速改锥”让CIA得以修改苹果Thunderbolt网卡固件，强制MacBook从U盘或光盘启动——即便其启动选项受口令保护的情况下。

比如说，“音速改锥”可用于从 Linux live CD 启动，这样MacBook的分区和数据就可以从macOS外访问了。

更重要的是，被“音速改锥”修改过的网卡可用于执行 DerStarke ——一款无文件macOS恶意程序，在计算机可扩展固件接口(EFI)留有长期驻留组件。

EFI或UEFI(统一可扩展固件接口)，是在操作系统启动前，初始化和配置计算机硬件组件的底层固件，相当于现代版BIOS。

EFI植入，或者rootkit，可以在启动过程中将恶意代码注入操作系统内核，即便系统完全重装了，或者硬盘驱动器换了，也都能继续驻留。

3月23日泄露的另一份CIA文档中，DerStarke 被描述为“无盘EFI驻留版Triton”。Triton是 Mac OS X 下课自动植入的间谍软件，它可以盗取数据并发送到远程服务器。

2009年的一份文档中，描述了名为“DarkSeaSkies”的 MacBook Air 恶意软件——一款可能是 DerStarke 前身的旧版植入物。这款恶意软件同样具有EFI驻留模块，且包含名为“Nightskies”的用户空间模块。

Nightskies是从iPhone上移植到 MacBook Air 中的。这也是它最引人注目的一点。维基解密上显示，iPhone版Nightskies是物理安装到原装出厂手机上的。

这表明，CIA染指了供应链。即在电子产品装运送达到最终买家手里之前，CIA很可能就已经拦截并感染了该设备。2013你那斯诺登泄露的文档里，已经透露出美国国家安全局(NSA)参与了类似活动。

在Mac计算机的EFI里安装rootkit并不新鲜。澳大利亚安全研究员劳卡斯·K(安全社区人称Snare)，在2012年的黑客安全大会上，就演示过Mac机器 EFI rootkit 概念验证。Snare由此被苹果公司聘走。

2014年，另一位安全研究员特拉梅尔·哈德森，开发了从恶意Thunderbolt设备感染Mac机EFI的方法。苹果修复了一些相关漏洞，但随后一年里，哈德森又与鑫尔诺·科瓦和科里·卡楞伯格一起，开发了该漏洞利用的另一个版本，名为“Thunderstrike 2”。

苹果再次针对 Thunderstrike 2 相关漏洞做了修复。几个月后，科瓦和卡楞伯格被苹果公司聘用。

鉴于苹果公司目前至少有3名精于此道的安全研究员，且该公司自2012年起便强化了其固件的EFI漏洞防护，CIA的 DerStarke 植入可能对该公司最新版本设备无效。

苹果并未对评论请求做出立即回复。

2012年时，绕过EFI口令防护从外围设备可选ROM启动的方法就已经为人所知了，Snare的黑客大会演示中也提到过。CIA的“音速改锥”Thunderbolt网卡中所用的方法，在12月推出的 macOS Sierra 10.12.2 中就已被封。

本月早些时候维基解密放出第一批CIA文档后，英特尔安全推出了一款工具，帮助计算机管理员验证EFI/UEFI是否含有恶意代码。

23号的新闻发布会上，维基解密创始人阿桑奇称，新放出的文档仅仅是CIA文档缓存中的一小部分，维基解密掌握了大量文档，仅仅是尚未公布而已。

维基解密之前曾承诺，与受影响技术厂商共享CIA漏洞及漏洞利用程序的未公布信息。并且，该组织要求厂商同意某些条款才放出这些信息。

阿桑奇在23号澄清：这些条款不涉及金钱之类的东西，只是要厂商承诺在业界标准90天时限内修复这些漏洞；而一时难以修复漏洞的时限则会稍有放宽。

本文转自d1net（转载）