Als onderdeel van de “Vault 7” -uitgaven van WikiLeaks met informatie over verschillende door de CIA ontwikkelde exploits gericht op computers en mobiele apparaten, deelde de non-profit organisatie vandaag een paar nieuwe exploits, genaamd “Achilles” en “SeaPea” en ontwikkeld onder de codenaam “Imperial”.
Beide exploits werden getest op oudere Macs met OS X Snow Leopard en Lion.
Met de "Achilles" -uitbuiting kan een aanvaller code in bestanden van disk image installers (.DMG) injecteren die vaak op Macs worden gebruikt. Als gevolg hiervan kon een nietsvermoedende gebruiker een aangetast schijfinstallatieprogramma op zijn Mac downloaden, openen en de software installeren zonder zich bewust te zijn van de aanval.
De eerste keer dat de nieuw geïnstalleerde app wordt gestart, zou de CIA-code ook worden uitgevoerd. De geïnjecteerde code wordt vervolgens veilig verwijderd uit de geïnstalleerde app, zodat deze “exact lijkt op” de originele app, waardoor het voor antivirussoftware moeilijk of zelfs moeilijk is om wijzigingen te detecteren.
De "SeaPea" -uitbuiting, beschreven als een Rootkit voor OS X, biedt een CIA-operator stealth- en tool-lanceringsmogelijkheden door belangrijke proces- en socketverbindingen van de gebruikers te verbergen.
Het vereist root-toegang om op een doel-Mac te worden geïnstalleerd en kan niet worden verwijderd, tenzij de opstartschijf wordt gewist of de computer wordt opgewaardeerd naar de volgende belangrijke OS-versie.
Beide exploits zijn getest op OS X Lion en Snow Leopard, oudere versies van OS X die jaren geleden zijn uitgebracht. Het is onduidelijk of Apple de kwetsbaarheden heeft hersteld omdat het bedrijf geen commentaar heeft gegeven op de nieuwste CIA-exploits.
In het verleden herstelde Apple gepubliceerde CIA-exploits binnen enkele dagen.
